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머리말 


위대한 령도자 김정일 동지께서는 다음과 같이 지적하시였습니다. 

《프로그람을 개발하는데서 기본믄 우리 식의 프로그람을 개발하는것 
입니다. 우리는 우리 식의 프로그람을 개발하는 방향으로 나가야 합니 
다.》 

( 《김정일 선집》제15권，196폐지) 
《붉은별》봉사기 용체 계 3.0 판에 서 는 강력한 보안봉사를 제 공하고있습니 
다. 현시 기 봉사기 관리 자들은 봉사에만 노력할것 이 아니 라 보안의 전초 
선 에 서 있다는것 을 잊 지말아야 합니 다. 우리 는 보안관리 에 서 나서고있는 
실무적인 자질을 높여 우리의 지식경제산업의 정보를 철저히 보안하여야 
합니 다. 

이 지도서는 봉사기관리자들이 보안관리를 하는데서 실무적으로 나서는 
여 러 가지 보안봉사문제 들에 대 하여 서 술하였 습니 다. 



제 1 절 기동보안 


1. 보안평가항목 

보안을 평가할 때 다음과 같은것들을 고찰하여 야 합니다. 

• BIOS 와 BOOT 보안 - 권한없는사용자들이 기계에 물리적으로 접 
근할수 있는가, 단일사용자기동인가, 암호없이 가능한가? 

• 암호보안 - 사용자암호를 어떻게 설정하였는가? 

• 관리조종 - 체 계 관리 자가 누구이 며 관리조종기능을 얼마나 가지 고 
있는가? 

• 가능한 망봉사들 - 망에서 무슨 봉사들이 있으며 어떤 동작을 하 
는가? 

• 개별적인 방화벽 - 방화벽이 어떤 형태인가, 필요한가? 

• 보안강화된 통신도구들 - 어떤 도구들이 통신에 사용되고있는가, 
그 보안성 능은 어 떠한가? 

2. BIOS 와 기 동적재프로그람에 대 한 보안 

기동적재프로그람과 BIOS (혹은 BIOS 와 동일한) 를위한 통과암호는 
분리가능한 매체를 사용하거나 혹은 단일사용자방식을 통하여 root 권한 
을 얻는 물리적으로 접근가능한 권한없는 사용자들을 막을수 있습니다. 

1) BIOS 통과암호 

BIOS 통과암호를 걸어야 하는 2 가지 중요한 리유가 있습니다. 

1. BIOS 설정 의 변환을 막기 위하여 필요합니 다. - 공격 자가 BOIS 에 
접 근하여 기 동설 정 을 CD-ROM 이 나 다른것 으로 설 정할수 있습니 다. 이 
것 은 체계를 safe 방식 혹은 단일사용자방식 에 들어가게 할수 있는데 이 
렇 게 되 면 자료들에 대한 자유로운 처 리를 진행할수 있게 됩 니다. 

2. 체계기동을 막기 위하여 필요합니다. - 일부 BOIS 들은 기동할 때 
통과암호를 요구합니다. 이렇게 되면 공격자가 안내적재프로그람을 기 
동하기전 에 통과암호를 입 력 하여 야 함으로 한단계 의 보안을 강화할수 
있습니다. 

BOIS 통과암호를 설정하는 방법들은 콤퓨터제작회사들에 따라 다르기 
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때문에 그에 해당한 사용설명서들을 보아야 합니다. 

만일 이 암호를 잊 어버리는 경우 CMOS 축전지를 분리하여 재설정할 
수 있습니다. 

2) 기 동적재 프로그람통과암호 

다음과 같은 우점 이 있습니다. 

1. 단일사용자방식에로의 접근을 막습니다. - 만일 공격자들이 단일 
사용자방식으로 체계를 기동한다면 root 암호를 모르고도 root 의 권한을 
가지 게 됩 니다. 

2. GRUB 조작탁 에 로의 접 근을 막습니 다. - 만일 기 동적재프로그람 
으로 GRUB 를 사용하고있다면 GRUB 편집 대 면부를 사용하여 cat 지 령 으 
로 정 보를 수집하거 나 설정 을 바꿀수도 있습니 다. 

3. 보안기능이 없는 조작체계에로의 접근을 막습니다. - 만일 두개의 
기 동체 계 가 있 다면 공격 자는 기 동할 때 조작체 계 를 설 정할수 있습니 
다.(실 례 를 들어 DOS) 그러 면 마음대 로 조종을 진 행 하게 됩 니다. 

GRUB 보 안 암호 

만일 기 동적 재 프로그람통과암호에 서 첫 두가지 문제 의 해 결을 위 하여 
GRUB 를 설정할수 있습니 다. 이 것을 설정 하기 위하여 우선 강한 암호 
를 선택 한 다음 root 로 로그인 하여 쉘 창문을 열고 다음과 같은 지령을 
실 행 합니 다. 

/s bin/grub-md5-crypt 

다음 GRUB 암호를 입 력 하고 Enter 건 을 누릅니 다. 그러 면 MD5 압축으 
로 암호가 채 워 집 니 다. 

다음 GRUB 설정 화일 (/boot/grub/grub.conf) 을 다음과 같이 편집합니 다. 

Password 一 md5 〈 password-has h> 에서 < 으크 88\¥0 없 -1 犯 811 >를 

/sbin/grub- md5-crypt 로 설 정 합니 다. 

그러 면 재기동할 때 GRUB 암호가 없이는 편집 기 나 지 령창문에 접 근 
할수 없 게 됩 니다. 
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그러나 두개의 기동환경에 있는 보안기능이 없는 조작체계에로의 공 
격 자들의 공격 은 막지 못합니 다. 이 를 위 하여 / boot / grub / grub.conf 화일을 
편집해주어 야 합니 다. 

보안하려 는 조작체계의 title 행을 보고 그 lock 행을 추가하여 야 합니 
다. 

실 례 로 DOS 체 계 에 대 하여 서 는 다음와 같이 설정 합니 다. 
title DOS lock 

체계에 통과암호를 설정하려면 다음과 같은 지령을 실행하면 됩니 
다. 

title DOS lock password -md5 <password-hash 〉 


3. 통과암호보안 

《붉은별》봉사기용체계 3.0 판에서 통과암호는 사용자식별자를 검증하 
기 위 하여 리용하는 초보적 인 방법 입 니 다. 이 려 한 리 유로 사용자나 본 
체, 망을 보호하기 위하여 통과암호보안은 매우 중요합니다. 

보안목적으로 MD 5 와 그림자암호 (shadow password ) 를 사용한 체계를 
설치하는데 이것은 매우 중요합니다. 만약에 설치과정에 MD 5 암호를 설 
정하지 않는다면 기정의 Data Encryption Standard ( DES ) 방식이 사용되게 
됩 니다. 이 방식 으로는 최대길이 8글자의 통과암호 즉 최대로 56비 트준 
위 의 통과암호밖에 설 정할수 없습니 다. 

만일 그림자암호를 선택하지 않으면 모든 통과암호들이 / etc / passwd 화 
일에 한방향하쉬로 보관되게 됩 니다. 이 것은 공격 자들에게 통과암호를 
공개하는것이나 다름이 없습니다. 그러므로 이려한 보안기능이 없는 통 
과암호들이 설정되 여있다면 암호공격자들이 그것을 발견하기전에 무조 
건 퇴치하여야 합니다. 

그림자암호는 / etc / shadow 화일에 하쉬 되 여 보관되기 때문에 오직 root 사 
용자만이 그것을 열수 있습니다. 
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공격자들은 SSH 나 FTP 와 같은 망봉사로 원격으로 들어갈 때 통과암 
호공격을 시도합니다. Brute-force 공격은 매우 느리며 또 체계화일들에 
수백번의 암호공격을 진행하면 폭죽상태로 될수 있습니다. 이때 공격한 
리력이 남게 되는데 물론 공격자들은 이와 같은 리력을 삭제하거나 편 
집합니다. 그러 나 만약 약한 암호를 설정하였다면 이와 같은 공격 이 가 
능해 지 게 됩 니다. 그러 므로 통과암호는 공격 자들의 암호공격 을 막기 위 
하여 강한 암호로 설정하여 야 합니 다. 

1) 강력 한 통과암호생성 

통과암호를 설정할 때 다음과 같은 원칙들을 지키면 강력한 통과암호 
로 될수 있습니다. 

• 문자나 수자만으로 이루어진 암호를 사용하지 말아야 합니다. - 

암호가 문자나 수자만으로 이 루어지 면 안됩 니 다. 실례로 

- 48382923 

- Juan 

- hackme 

• 잘 알려진 단어들을 사용하지 말아야 합니다. - 이름이 나 사전단 

어, TV 나 책에서 나오는 단어들은 피해야 합니다. 만일 그뒤에 수자가 
있다고 하여도 마찬가지입니다. 실례로 

- johnl 

- DS-9 

- Mentatl32 

• 외국어단어들은 사용하지 말아야 합니다. - 암호공격프로그람들은 
많은 언어를 가전 압축된 사전을 사용합니다. 통과암호로 외국어단어를 
리용한다면 그것은 안전하지 못합니다. 실례로 

- cheguevara 

- bienvenido 1 

- ldumbKopf 

• 해커 전문용어 를 사용하지 말아야 합니 다. - 해 커전문용어 (1337 
혹은 LEET 언 어 )를 통과암호로 설 정하면 안전 하다고 생 각할수 있 는데 
대 부분의 단어표들은 LEET 를 포함하고있다는것을 알아야 합니 다. 실례 
로 


H4X0R 
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- 1337 

• 개인정보를 사용하지 말아야 합니다. - 만일 공격자가 사용자의 
특성 을 알고있다면 암호를 추측하는것은 훨씬 쉬 워질것 입 니 다. 통과암 
호를 설정할 때 피해야 할 항목들의 실례는 다음과 같습니다. 

- 사용자의 이 름 

- 애완용동물의 이름 

- 가족사람들중의 이름 

- 생년월일 

- 전화번호나 생략코드 

• 잘 알려진 단어들을 거꾸로 한 통과암호를 사용하지 말아야 합니 

다. - 암호를 검사하는 사람들은 항상 일반적 인 단어들을 거꾸로 생각 
하군 합니 다. 그러 므로 이 와 같은 암호들도 좋지 못한 암호로 됩 니다. 

- R0X4H 

- Nauj 

- 9-DS 

• 통과암호를 적어놓지 말아야 합니다. - 암호를 종이 에 적 어 놓아 

서는 안됩니다. 그보다 머리속에 기 억하고있는것이 훨씬 더 안전합니다. 

• 모든 기재들에 같은 암호를 사용하지 말아야 합니다. - 매 기재마 
다 서로 다른 암호를 설정하는것은 매우 중요합니다. 이렇게 하면 하나 
의 체계가 공격당해도 다른 체계들이 인차 위험에 처해지지 않을수 있 
기 때문입니다. 

강력한 통과암호를 설정하는데 도움을 줄수 있는 몇가지 항목들을 
서 술하 였습니 다. 

• 통과암호의 길이를 최대한 8글자이 상으로 설정하여 야 합니 다. - 
통과암호가 길수록 좋습니 다. 만일 MD5 암호를 리용한다면 15 글자이 상 
되여야 합니다. DES 암호들은 최대길이가 8 글자입니다. 

• 큰 글자와 작은 글자를 섞어서 설정하여 야 합니다. 

• 글자와 수자들을 섞어서 설정하여 야 합니 다. - 특히 통과암호의 
시 작이 나 끝이 아닌 가운데 섞 어놓으면 더 좋습니 다. 

• 특수기호들을 포함하여 야 합니다. -&,$,〉와 같은 특수기호들은 
통과암호의 성 능을 향상시키 게 됩 니 다(이 것 은 DES 암호를 사용할 때 에 
는 불가능합니다). 
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• 사용자가 기억할수 있는 암호를 선택하여야 합니다. - 만일 사용 
자가 기 억할수 없는것이라면 제일 좋은 통과암호라고 하여도 그리 좋다 
고 할수 없습니다. 


통과암호설정방법 

통과암호를 설정하는 많은 방법들이 있습니다. 

• 기 억 하기 쉬 운 문구 “over the river and through the woods, to grand 
mother’s house we go.” 

• 구두점을 포함한 준말(즉 기 억하기 쉬운 문구의 매 단어 앞글자만 
따서 만든 통과암호) - otrattw,tghwg. 

• 기억하기 쉬운 준말들가운데서 일부 문자를 수자나 특수기호로 바 
꾸 어 기 억하는 방법 - o7r@77w,7^iwg. 

• 적어도 한글자는 대문자로 바꾸는것 - 즉 o7r@77w,7gHwg. 

• 다른 체계들에서는 이 암호를 쓰지 않는것 

2) 사용자그룹에서 통과암호 설정 

많은 사용자들을 가지고있는 사용자그룹에서는 체계관리자들이 좋은 
통과암호를 사용하기 위한 두가지 기 초적 인 방안이 있습니 다. 관리 자는 
사용자를 위한 통과암호를 생 성할수 있으며 혹은 사용자자신 이 만든 통 
과암호를 허 락할수 있습니다. (물론 그 통과암호의 질이 담보될 때) 

사용자들을 위하여 만든 통과암호는 그 암호가 좋다는것 을 담보하지 
만, 사용자의 수가 계 속 불어 나게 되 면 그것 도 곤란하게 됩 니 다. 이 려 한 
리유로 대 부분의 체 계 관리 자들은 사용자 자신들이 암호를 만들게 하고 
그를 검증하여 좋다는것을 담보하며 또한 주기적으로 암호률 교체하게 
합니다. 

암호갱신 

암호갱신은 체계관리 자들이 그룹안에서 나른 암호를 없애 기 위하여 
쓰는 또 하나의 방법 입 니 다. 즉 암호갱 신의 의미는 특정한 기 간 (보통 
90 일)이 지 나면 사용자들이 새 로운 암호를 설정할것을 요구합니 다. 암 
호갱신의 필요성은 만일 암호가 해득되 였다고 하여도 그 암호를 제한된 
시 간만큼만 리용하게 되 기 때문입 니 다. 
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《붉은별〉〉봉사기용체계 3.0 판에는 2 개의 기본적인 암호갱신프로그람이 
있 습니 다. 그것 은 chage 명 령 과 User Manager ( system - config - users ) 프로그람 
입니다. 


Chage 명 령 에서 설정값 -M 은 암호가 유효한 기 간을 설정하는 값입 
니 다. 실례로 기 간을 90일로 설정 하려 면 “chage -M cusername 〉” 과 같 
이 지령을 실행시키면 됩니다. 

우의 지령에서 이 설정값의 최대값은 99 999입니다. 이것은 273년에 
해당됩니다. 

구체적 인 설정 을 위하여서는 “chage cusername 〉” 지 령 을 실행 시 키 면 됩 
니 다. 

[ root$myserver 〜]# change kim 

Changing the aging information for kim 

Enter the new value , or peess Enter for the default 

Minimum password Age [0] : 90 

Maximum password Age [99999] : 90 

Last Password Change ( YYYY - MM - DD ) [2006-08-18]: 

Password Expiration Warning [7]: 

Password Inactive [-1 ]: 

Account Expiration Date ( YYYY - MM - DD ) : 

Chage 에 대 한 도움말을 보면 자세 한 설 정값들에 대 하여 파악할수 있습 
니 다. 

3) 봉사들에 대한 위험성 

봉사기 용체계 에서의 망보사들은 많은 위 험성들을 가지 고있습니 다. 
대표적인 내용들의 일부를 보여줌니다. 

• 봉사거부공격 ( DoS ) 

• 분산형 봉사거 부공격 ( DDos ) 

• 스크립트취약성공격 

• 완충기넘침공격 
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주의: 망에서 공격을 제한하기 위하여 사용하지 않는 모든 봉사들을 
정지하여야 합니다. 

4) 식 별 자와 해 당된 봉사들 

최대의 보안을 위하여 〈〈붉은별》봉사기용체계 3.0 판을 설치하고 모든 
망봉사들을 기 정 으로 정 지 시키 고있습니 다. 그러 나 다음과 같은것 은 제 
외입니다. 


• cupsd - 《붉은별》봉사기 용체 계 3.0 판의 기 정 인 쇄 봉사기 

• xinetd - gssftp 와 telnet 와 같은 부분봉사기들에 대한 접속을 조종 
하는 최고봉사기 

• send mail - Sendmail Mail transport Agent(MTA) 는 기정으로 능동설 
정되 여 있습니다. 그러나 localhost 로부터의 접속을 위하여서만 동작합니 
다. 

• sshd - OpenSSH 봉사기 는 Telnet 를 위 한 보안갱신 입 니 다. 

• Beam- 이 것 은 관리 할때 만 있고 중지 하여 야 합니 다. 

• Mysql- 자료기 지 도 중지 시 켜 야 합니 다. 

5) 보안기 능이 없는 봉사들 

완벽하게 보안된 봉사는 없습니 다. 이 려 한 리유로 중요하지 않거 나 
리용하지 않는 봉사들을 끄는것 이 매 우 중요합니 다. 또한 봉사들에 대 
한 공격을 막기 위 하여 패치를 진행하고 망봉사와 관련 한 패키지들을 
갱신하는것 이 매우 중요합니다. 

일부 망통신들은 특별한 보안기능이 없습니다. 다음과 같은 봉사들을 
포함하는 통신들을 보면. 

• 망으로 암호화되지않은 사용자이름과 통과암호를 전송하는것 - 
Telnet 와 FTP 와 같은 많은 오래된 통신들은 인증쎄션을 암호화하지 않 
습니 다. 

• 망으로 암호화되 지않은 가능한 자료의 전송 - 망에서 암호화되 지 
않은 자료통신규약들이 많이 있습니다. 여기서는 Telnet, FTP, HTTP, 
SMTP 와 같은 많은 것들이 포함되 여있습니 다. NFS 와 SMB 와 같은 많은 
망화일 체 계 들도 망에 서 자료전송을 암호화하지 않고 진 행합니 다. 

Netdump 와 같은 Remote memory dump 봉사들도 망에서 암호화가 없 
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이 자료전송을 진행합니다. 

Finger 나 rwhod 와 같은 다른 봉사들은 체계의 사용자들에 대한 정보 
를 나타냅니다. 

일반적 인 보안기능이 없는 봉사들은 rlogin 과 rsh, telnet, vsftpd 입 니 다. 

모든 원격 가입 과 쉘프로그람 (rlogin, rsh, telnet) 들은 SSH 에 의하여 철저 
히 해 결되 여있습니 다. 

FTP 는 체계보안이 진행되여있으므로 그렇게 위험한것으로 되지는 않 
지 만 그에 대 한 깊은 주의 를 돌려야 하며 일련의 문제들을 해 결하여 야 
합니다. 

주의 를 돌려야 할 봉사들은 다음과 같습니 다. 


finger 
authd 
netduirp 
netdump-server 
nfs 

rshod 

sendmail 

smb(Samba) 

yppasswdd 

ypserv 

ypxfrd 


4 . 개별적인 방화벽들 

필요한 망봉사들을 기 동시 킨후에 방화벽 을 설치 하는것 이 중요합니 다. 
주의: 인터네트나 잘 믿음이 안가는 망으로 접속하기 전에 필요한 봉 
사를 기동시키고 방화벽을 무조건 설치하여야 합니다. 

방화벽은 체계의 망대면부에 접근하는 망케트들을 막습니다. 만일 어 
떠한 요구가 방화벽에 의하여 닫겨진 포구로 들어오게 되면 그 요구는 
무시됩니다. 또한 이려한 닫겨진 포구들로 진행되는 봉사는 파케트들을 
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접수하지 않으며 효과적으로 비활성화됩니다. 이려한 리유로 사용하지 
않는 포구들의 접근을 막기 위하여 방화벽을 쓰는것이 매우 중요하게 
됩니다. 

대부분의 사용자들은《붉은별》봉사기용체계 3.0 판에서 iptables 를 사용 
합니다. 

5. 보안강화한 통신도구들 

인터네트의 규모와 인기가 점점 증가할수록 통중요의 자료를 가로채 
는 징후도 점점 많이 나타나고있습니다. 여러해에 걸쳐 자료들이 망을 
통하여 전달되기때문에 통신에서 기호화를 위한 도구들이 많이 개발되 
였 습니다. 

《붉은별》봉사기용체계 3.0 판에서는 망에서의 자료전송의 보안을 위하 
여 high-level 과 public-key-cryptography 에 기 초한 암호화 알고리 듬을 리 용 
한 2개의 기본적 인 도구들을 주었습니다. 

• OpenSSH - 망통신의 암호화를 위한 SSH 규약의 자유로운 실현 

• Gnu Privacy Guard(GPG) - 자료암호화를 위한 PGP 암호화응용프로 
그람의 자유로운 실현 

OpenSSH 는 원격 기 계를 접 속하거 나 telnet 와 rsh 와 같은 비 암호화된 봉 
사들을 교체하는데서 더 안전한 방법입니다. OpenSSH 는 sshd 라고 하는 
망봉사를 포함하며 3개의 지 령 행을 가집 니 다. 

• ssh - 원격 조작탁접 근의 뢰 기 보안 

• scp - 원격복사지 령보안 

• sftp - 대 화식 화 일 전 송쎄 션 을 허 용하는 pseudo-ftp 의 뢰 기 보안 

GPG 는 개 인 용전자우편통신을 담보하기 위한 한가지 방법 입 니 다. 공유 
된 망을 통하여 중요한 자료를 전자우편으로 보내고 또 하드구동기에 
있는 중요한 자료를 보호하는것은 둘다 필요한 가능성 이 있습니다. 
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제 2 절 봉사기보안 

망에서 체계가 봉사기로 사용될 때 그것은 공격의 목표로 될수 있습 
니다. 체계를 강화하고 봉사들을 페쇄하는것은 체계관리자가 할 중요한 
사업입니다. 

구체적 인 내용을 고찰하기 전에 먼저 다음과 같은 일반적 인 사항들을 
고려하여야 합니다. 

• 최근공격을 막기 위한 현재의 모든 봉사들을 유지하여야 합니다. 

• 가능한껏 보안규약을 사용하여야 합니다. 

• 가능하면 한대의 콤류터 에 하나의 망봉사만을 진행하여 야 합니다. 

• 봉사기들의 모든 활동들을 주의깊게 고찰하여야 합니다. 

1. TCP Wrapper 와 xinetd 에 대 한 보 안봉사들 

TCP Wrapper 는 여 러 가지 봉사들에 접 근조종기 능을 제 공합니 다. SSH , 
Telnet , FTP 와 같은 대부분의 현대적 인 망봉사들은 TCP Wrapper 를 사용 
하는데 이 것은 들어오는 요구와 요구한 봉사들사이 를 방어 하는 기 능을 
수행 합니 다. 


TCP Wrapper 에 의 한 우월성은 추가적 인 접 속, 호출, 결합，재지시, 자 
원리용조종을 진행하는 최고봉사기 xinetd 와 결합하여 사용될 때 더욱 
더 나타나게 됩 니다. 

1) TCP Wrappei •를 가지 고 보안을 강화 

TCP Wrapper 는 봉사들에 대 한 호출을 거 절하는것 보다 훨씬 더 유용합 
니다. 이 절에서는 그것들이 어떻게 련결기 발을 보내고 특별한 호스트 
로부터의 공격에 대하여 경고하며 접속기능을 강화하는데 사용할수 있 
는가를 보여줌니다. 

TCP Wrapper 와 련 결 기 발 (Connection Banners ) 

적합한 기발을 표시하는것은 사용자들이 봉사에 련결될 때 체계관리 
자가 경계하는 잠재적인 공격자들을 알수 있게 하는 좋은 방법입니다. 
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또한 체계에 대한 어떠한 정보를 사용자들에게 제공하겠는가를 조종할 
수 있습니다. 봉사를 위한 TCP Wrapper Banner 를 실현하기 위하여 
banner option 을 사용하여 야 합니 다. 


우선 체계의 임의의 곳에 banner 화일을 생성 합니 다. 그러 나 이때 대 
몬과 같은 이름으로 하여야 합니다. 실례로 / etc / bannersAvsftpd 를 들수 있 
습니 다. 

220- Hello , %c 

220 -All activity on ftp . example.com is logged . 

220 -Inappropriate use will result in your access privileges being removed . 
여기서 %c 는 사용자이름과 호스트이름 혹은 사용자이름과 IP 주소 
와 같은 여 러 가지 의뢰기정 보입 니 다. 

여기서 기발은 / etc / hosts . allow 화일에 추가됩니다. 
vs 及 pd : ALL : banners / etc / banners / 


TCP Wrapper 와 공격 경 고 (Attack Warnings ) 

만일 어떤 호스트나 망이 봉사기공격으로 검출되였으면 TCP Wrapper 
는 spawn 을 사용하여 그 호스트나 망으로부터 련속적인공격의 관리자 
를 경고하는데 사용될수 있습니다. 

실례로 206.182.68.0/24 망에 서 크랙 커 가 봉사기 를 공격 하려 고 하다가 
검 출되 였 다고 가정해보자. 이 때 / etc / hosts . deny 에 행 을 추가하여 그 망으 
로부터 임의의 련결시도들을 거절하고 특수화일의 시도를 기록하게 됩 
니 다. 

TCP Wrapper 와 강화된 가입 

련결의 정확한 형태에 대하여 관심을 높이기 위하여서는 접속준위를 
severity option 을 리용하여 봉사를 강할수 있습니 다. 실례를 들어 누군가 
가 FTP 봉사기 에 23번포구 (telnet 포구)를 리용하여 접 속하려 한다면 그 
것 은 크랙 커라고 가정 하면 됩 니다. 이 를 위하여 표준기 발대 신 에 기 록화 
일들에 emerg 기 발을 배 치 하고 그러 한 련결을 거 절하면 됩 니 다. 

이 를 위 하여 서 는 / etc / hosts . deny 에 다음과 같은 지 령 을 실 행 하면 됩 니 
다. 

in.telnetd : ALL : severity emerg 
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2) xinetd 에 의 한 보안강화 

—쇠를 리용하여 봉사의 방책 을 설 정 하고 또 어 떤 주어 진 xinetd 봉사 
를위한 리용가능한 자원준위를 조종하는데 기본초점을 둡니다. 봉사들 
의 자원한계를 설정하는것은 DoS 공격을 막는데 도움을 줄수 있습니다. 
xinetd 와 xinetd . conf 를 위한 도움말을 보면 가능한 설정값들을 알수 있습 
니 다. 


방책 설 정 

xinetd 의 중요한 사명의 하나는 전체적인 no _ access 표에 host 들을 추가 
하는 능력 입 니 다. 이표에 있는 host 들은 정해진 시 간동안 혹은 xinetd 가 
재 기동할때 까지 xinetd 에 의 하여 관리 되 는 봉사들에 로의 부분접 근을 할 
수 없습니다. 이률 위하여 SENSOR 속성을 리용할수 있습니다. 이것은 
봉사기 의 포구검 사를 진 행 하여 host 를 관리 하기 위한 쉬 운방법 중의 하나 
입 니 다. 

SENSOR 를 설정 하기 위 한 첫 단계 는 사용하지 않기 로 결정한 봉사를 
설정하는것입니다. 다음과 같은 실례에서는 telnet 를 설정하였을 때를 보 
여주었습니다. 

/ etc / xinetd . d / telnet 화일을 편집하고 Flags 를 변환합니다. 

Flags = SENSOR 

다음행에 다음과 같이 추가합니다. 

dny_time = 30 

이렇게 하면 30분동안 host 에의하여 포구에 접속하는 모든 접속을 거 
부합니 다. 여 기서 deny _ time 속성을 FOREVER 로 설정할수도 있습니 다. 
이렇게 하면 xinetd 를 재기동할까지 접속을 거부하며 NEVER 로 설정하 
면 접속을 허용하고 그것을 기록합니다. 

마지막에 다음과 같은 행을 추가합니다. 

dsable = no 

SENSOR 를 리용하는것 은 비 정 상적 인 호스트로부터 의 접 속을 검 출하 
고 저지시키는 좋은 방법중의 하나이지만 이것은 2가지 약점을 가집니 
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다. 

• stealth 검사에 대응하지 못합니다. 

• 만일 SENSOR 가 돌아가고있는것을 알고있는 공격자가 있다면 IP 
주소를 속이고 금지 된 포구로 접 속하여 부분적 인 호스트들에 DoS 공격 
을 할수 있습니다. 

봉사기자원조종 

xinetd 의 다른 또 하나의 중요한 점은 그것 이 조종하는 봉사들의 자원 
한계를 설정하는 능력 입니다. 

그것 은 다음과 같이 진 행합니 다. 

• cps = < number_of_connections> <wait_period> - 들어 오는 접 속의 시 
간제 한을 줍니다. 

<number_of_connections> - 초당 조종할수 있는 접속개수입니다. 만일 

들어오는 접 속의 개수가 이 보다 높으면 봉사는 실행되 지 않습니 다. 

이 것의 기 정값은 50입 니 다. 

<wait_period> - 봉사가 비활성화 되 였다가 다시 기동할 때까지 기다림 

시 간입 니 다. 이 것의 기 정값은10초로 되 여있습니 다. 

• instances = < number_of_connections> - 봉사가 허용하는 접속의 종 
개수를 지 정합니 다. 이 것은 옹근수값이 나 UNLIMITED 로 설정 될수 있습 
니 다. 

• per_source = <number_of_connections> - 매 호스트에 대한 허용되 
는 봉사의 개수률 지 정합니 다. 이 것은 옹근수값이 나 UNLIMITED 로 설 
정될수 있습니다. 

• rlimit_as = <number [KIM]> - 봉사가 차지 하는 기 억 주소공간의 크기 
를 키로바이 트 혹은 메가바이트단위 로 지 정합니 다. 이 것도 옹근수값이 
나 UNUMIIED 로 설정될수 있습니다. 

• rlimit_cpu = <number_of_seconds> - 봉사가 CPU 를 차자할수 있는 시 
간을 초단위 로 지 정합니 다. 이 것도 역시 옹근수값이 나 UNLIMITED 로 
설정될수 있습니다. 

이 와 같은 설 정값들을 리용하면 DoS 공격 과 같은 공격 들을 막는데 도 
움을 줄수 있습니다. 
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2. Portmap 보 안 


Portmap 봉사는 NIS 나 NFS 와 같은 RPC 봉사들을 위한 동적포구할당대 
몬입니 다. 

그것은 약한 인증기능을 가지고있으며 그것이 조종하는 봉사들에 대 
한 넓 은 포구범 위 를 설 정하는 능력 을 가집 니 다. 

주의 : portmap 보안은 오직 NFSv2 과 NFSv3 의 실현 에서만 효과가 있 
습니다. NFSv4 는 그것을 요구하지 않습니다. 그러므로 만일 NFSv2 이나 
NFSv3 을 실현하려고 한다면 Po_p 가 요구될것 입 니다. 

1) TCP Wrapper 에 의 한 portmap 보 안 

이것은 그 어떤 인증형식도 가지지 않기때문에 망이나 호스트들의 
portmap 봉사에 로의 접 근을 제 한하는데 서 TCP Wrapper 를 리용하는것 은 
매우 중요합니다. 

이때 봉사에로의 접근을 제한하는데서 IP 주소들만을 사용하여야 합니 
다. DNS 사용이 나 다른 방법 들에 습관되 여있을수 있으므로 hostname 의 
사용을 피해야 합니다. 

2) iptables 에 의한 portmap 보 안 

portmap 봉사에 로의 접 근제 한을 위 하여 봉사기 에 iptables 규칙 들을 추가 
하고 특정한 망에 로의 접 근을 제 한하는것 이 좋습니 다. 

2 개 의 iptables 지 령 실 례 가 있습니 다. 첫 번째 것 은 192.168.0.0/24 망으로 
부터 포구 lll(portmap 봉사에 의 하여 리 용된)에 로의 TCP 련결을 허 용하는 
실례 이 며 두번째것은 localhost 로부터 같은포구에로의 TCP 련결을 허 용하 
는 실례입니다. 이것은 Nautilus 에 의하여 사용된 sgi_fam 봉사를 위하여 
필요합니다. 

iptables -A INPUT -p tcp -s! 192.168.0.0/24 -dport 111 -j DROP 

iptables -A INPUT -p tcp -s 127.0.0.1 -dport 111 -j ACCEPT 

UDP 전송제한을 간단히 다음과 같은 지령을 리용하여 진행할수 있습 
니 다. 

iptables -A INPUT -p udp -s! 192.168.0.0/24 -dport 111 -j DROP 
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3. Apache HTTP 봉사기 보안 


Apache HTTP 봉사기 는《붉은별》봉사기용체 계 3.0 판에 내 장되 여 있는 가 
장 안전하고 보안이 좋은 봉사들중의 하나입니다. 많은 설정들과 기술 
들이 Apache HTTP 봉사기를 보안하는데 쓰이는데 그중 중요한 몇가지 
규칙들만을 소개하려고 합니다. 

항상 체계 에서 동작하는 모든 스크립 트들이 제품에 들어 가기전 에 정 
확히 동작하는가를 검사하여 야 합니다. 또한 root 사용자만이 스크립트와 
CGI 들을 포함하는 임의의 등록부에 쓰기권한을 가진다는것을 확정하여 
야 합니 다. 이를 위하여 root 사용자로서 다음과 같은 지 령을 실행시켜보 
면 됩 니다. 

Chown root <directory_name> 

Chmod 755 <directory_name> 


체계관리자들은 다음과 같은 설정값들을 설정할 때 주의를 돌려야 합 
니 다. (/etc/httpd/conf/httpd.conf 에 서 설 정 합니 다.) 


FollowSymLinks 

이 지 령은 기정으로 제공되 여있습니다. 그러므로 웨브봉사기의 root 문 
서 들에서 기 호련결을 생성할 때 주의 를 돌려서 사용하여 야 합니 다. 실 
례 로 련 결 기 호률 /로 하는것 은 좋지 못한 생 각 입 니 다. 

Indexes 

이 지 령은 기정으로 제공되 여있습니다. 그러나 이것은 불필요한것 일 
수도 있습니다. 봉사기에 화일열람을 위해 접속하는 사람들을 막기 위 
하여 이 명 령 을 제 거 하여 야 합니 다. 

UserDir 

이 지 령은 기정으로 비활성화되 여있습니다. 왜냐면 체계에서 사용자 
식 별 이 름의 존재를 확증할수 있기 때문입 니 다. 망에서 사용자등록부열 람 
을 위하여 다음과 같은 지령을 사용하여야 합니다. 

userDir enabled 

userDir disabled root 


17 



4. FTP 보 안 

화일전송통신규약 ( FTP ) 는 망에 서 화일전송을 위하여 설계 된 오래 된 
TCP 통신규약입니다. 사용자인증을 포함하는 봉사기의 모든 트랜잭션(업 
무)들이 모두 비암호화되 여있기때 문에 그것 은 보안기 능이 없는 전송규 
약으로 고찰되며 여기 에 깊은 주의를 돌려야 합니다. 

《붉은별》봉사기용체계 3.0 판은 vsftpd 를 사용합니다. 

지 도서 는 vsftpd 에 의한 FTP 봉사의 설정 을 서 술하였습니 다. 

1) FTP Greeting Banner 

사용자이 름과 통과암호를 접 속하기 전 에 모든 사용자들은 greeting 
banner 를 받습니다. 기정으로 판본정보를 가지고있는 이 기발은 크랙커 
들이 체계에서 취약점을 발견하는데 필요합니다. 

vsftpd 를 위한 greet 기 발을 변화하기 위 하여 서 는 다음과 같이 
/ etc / vsftpd / vsftpd.conf 화일을 보면 됩니다 . 

ftpd _ banner =< insert_gre etin ^ here > 

여기서 < insert _ greetin 匕 here 〉 는 greeting message 의 본문을 의미합니 다. 

복합기발을 위하여서는 기발화일을 사용하는것이 제일 좋습니다. 복 
합기발의 관리를 진행하기 위하여 / etc / banners / 라는 새로운 등록부를 
만들고 여기에 모든 기발들을 배치합니다. 이 례에서는 FTP 련결을 위한 
기발화일을 / etc / banners / ftp.msg 로 하였습니다. 서 해당한 실례를 보여주 
었습니다. 

vsftpd 를 위한 인사기발화일을 참조하기 위하여서는 

/ etc / vsflpd/vs ftpd.co nf 화일을 다음과 같이 편집 하면 됩니 다. 

banner _ file =/ etc/b anners / ftp . ms g 

2) 닉 명 접 속 (Anonymous Access ) 

/ var / ftp / 등록부의 존재는 닉명의 사용식별자를 찾아내는데 도움을 줍 
니다. 이 등록부를 생성하는 가장 쉬운 방법은 vsftpd 패키지를 설치하는 
것입니다. 이 패키지는 닉명의 사용자들에 대한 등록부나무를 가지고있 
으며 이러한 사용자들에게 읽기권한만을 주게 됩니다. 
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기정으로 닉명의 사용자는 어떠한 등록부에도 쓰기할수 없습니다. 

경 고 : 만일 FTP 봉사기 에로의 닉명의 접 속을 허 용한다면 중요한 자료 
가 어디에 보관되여있는지를 알게 됩니다. 

닉 명 사용자에 의 한 을러 적 재 

닉 명의 사용자들이 화일을 올리 적재하는것을 허용하기 위하여서는 
八 i / ftp / pub / 안에 쓰기권 한만을 허 용한 등록부를 만들어 야 합니 다. 

이 를 위 하 여 다음과 같은 지 령 을 실 행 합니 다. 

mkdir / var / ftp/p ub/up load 

다음 권한 ( permission ) 을 변경시 키 면 닉 명의 사용자들은 등록부안의 내 
용을 현시할수 없습니 다. 

Chmod 730 / var / ftp/p ub/up load 

등록부의 긴 목록양식은 다음과 같습니다. 

drwx - wx --- 2 root 任 p 4096 Feb 13 20:05 upload 

경고 : 닉명의 사용자들에게 등록부의 읽기와 쓰기권한을 허용한 관 
리 자들은 자주 자기 들의 봉사기 가 도적 질 한 쏘프트웨어 의 저 장고로 되 
는것 을 발견 하게 됩 니다. 

추가적으로 vsftpd / etcAvsftpd / vsftpd . conf 화일에 다음과 같은 행을 추가 
하여 야 합니다. 

anon _ upload_e nab le s = YES 

3) 사용자식별이름 

FTP 전송은 인증을 요구할 때 보안기능이 없는 망으로 암호화되지 않 
은 사용자이름들과 통과암호들이 전송되기때문에 체계사용자들이 사용 
자식별이름으로 봉사기에 접근하지 못하도록 거부하는것이 합리적입니 
다. 

vsftpd 에 있는 모든 사용자식별이름을 비활성화시키기 위하여서는 

/ etc / vsftpd / vsftpd . conf 화 일 에 다음과 같은 행 을 추가하면 됩 니 다. 

local_enable = NO 


사용자식 별 이 름 제 한하기 
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root 사용자와 sudo 권 한을 가진 사용자들과 같이 득정 한 식 별 이 름이 나 
특정한 식 별 자그룹을 위한 FTP 접 근을 비 활성 화시 키 기 위 하여 서 는 PAM 
표 화일 을 사용하는것 이 제 일 쉬 운 방법 입 니 다. vsftpd 를 위한 PAM 설 정 
화일은 /etc/pam.d/vsftpd 입니다. 

그것은 매 개의 봉사에 대 한 사용자식 별 이 름을 직 접 비 활성 화시키 는것 
도 가능합니다. 

vsftpd 에 있는 특정한 사용자식별이름을 비활성화시키기 위하여서는 
/etc/vsftpd.ftpusers 에 사용자이름을 추가하면 됩니다 . 

4) 접 근조종을 위 하여 TCP Wrappei •를 사용하여 야 합니 다. 

FTP 대 몬에 로의 접 근조종을 위 하여 TCP Wrapper 를 사용하여 야 합니 
다. 

5. 우편 보안 (Securing Sendmail ) 

sendmail 은 다른 MTA 들사이에 전자통보문들을 전송하거나 email 을 보 
내기 위한 간단한 우편전송규약을 사용하는 우편전송대행체 (MTA : Mail 
Trans 免 r Agent) 입 니 다. 

많은 MAT 들은 암호화된 전송을 진행하지만 대부분은 그렇지 못합니 
다. 그러므로 어떤 공개된 망으로 email 을 보내는것은 전송의 보안기능 
이 없는 형태로 고찰할수 있습니다. 

-봉사거부공격의 제한 

전자우편의 본질적특성 으로 하여 공격 자는 mail 을 봉사기 에 매우 쉽 
게 퍼 붓고 봉사거 부공격 을 진 행 할수 있습니 다. / etc/mail/sendmailmc 에 다 
음과 같은 지령들을 추가함으로써 이와 같은 공격을 제한할수 있습니 
다. 

• conflCONNECTION_RATE_THROTTLE - 봉사기가 초당 접수할수 
있는 련결의 개수입니다. 기정으로 발신우편은 련결개수의 제한이 없습 
니다. 만일 이것 이 제한되고 이 한계점 에 도달하게 되면 련결은 지 연됩 
니 다. 

• confMAX_DAEMON_CHILDREN - 봉사기 에 의 하여 생 겨 날수 있 
는 child 공정 의 최 대 개 수 입 니 다. 기 정 으로 이 개 수는 제 한되 여 있 지 않습 
니다. 이 려 한 제 한을 설정 하고 이 한계값에 도달하게 되 면 련결은 지 연 
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됩 니 다. 

• confMIN _ FREE_BLOCKS - 봉사기 가 우편 을 접 수하는데 리 용가능 
한 자유로운 블로크의 최 소개 수입 니 다. 기 정값은 100입 니 다. 

• confMAX _ HEADERS_LENGTH - 통보문머 리 부의 최 대 접 수크기 이 
다(단위는 Byte ). 

• confMAX _ MESSAGE_SIZE - 한개 의 단 일 통보문의 최 대 접 수크기 이 
다(단위는 Byte ). 

1) NFS 와 발신우편 ( Sendmail ) 

NFS 공유구획에 우편입출구완충화등록부 / var / spool / mail / 을 만들지 말 
아야 합니다. 

왜 냐면 NFSv 2 과 NFSv 3 은 사용자와 그룹 ID 들을 조종하지 않기때 문에 
2이상의 사용자들이 같은 UID 를 가지고 매개의 다른 우편을 접수하고 
볼수 있습니다. 

주의 : Kerberos 를 리 용한 NFSv 4 는 SECRPC _ GSS 핵 심 부모형 이 UID 에 
기 초한 인증을 리용하지 않기 때문에 우와 같은 경 우가 없습니 다. 그러 
나 NFS 공유구획 에 우편입 출구완충화 등록부를 배 치하지 않는것 이 좋을 
것 입 니 다. 


2) 우편 사용자만 리 용 ( Mail-only Users ) 

Sendmail 봉사기 에 서 국부사용자가 공격 받는것 을 막기 위 하여 email 프 
로그람을 사용하여 서 만 mail 사용자들이 Sendmail 봉사기 에 접 근하도록 
하는것 이 제 일 좋습니 다. 우편봉사기 에 서 쉘 account 들은 허 용되 지 말아 
야 하며 / etc / passwd 화일 에 있는 사용자쉘들은 / sbin / nologin 으로 설정 되 여 
야 합니 다. ( root 사용자는 례외) 

6 . 포구조사 (Verifying which ports are listening) 

망봉사를 설치한 후 체계망대면부에서 실지 동작하고있는 포구들에 주 
의를 돌리는것이 매우 중요합니다. 임의의 열린 포구는 취약점으로 됩니 
다. 
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망에서 동작하고있는 포구들을 목록화하기 위하여서는 2가지 기초적인 
수법들이 있습니다. 믿음성이 없는 방법이지만 netstat -an 혹은 Isof -I 와 
같은 지령을 사용하는 방법입니다. 이 방법은 이 프로그람들이 망으로부 
터 콤퓨터에 련결하지 않기때문에 믿음성이 떨어지지만 무엇이 체계에서 
동작하고있는가를 검 사하기 도 합니 다. 이 려 한 리유로 이 프로그람들은 공 
격 자들에 의하여 자주 사용됩 니 다. 이 와 같은 프로그람들의 판본을 갱 신 
하여 리용한다면 망포구들의 상태 를 검 사하고 또 길을 알수 있을것 입 니 다. 
이와 같은 포구주사프로그람으로서는 nmap 와 같은것 이 있습니다. 망에서 
TCP 련결된 포구들을 검사하는 지령의 실례를 주었습니다. 
nmap 一 sT -0 localhost 

이 실례에서 보는바와 같이 sunrpc 봉사의 형태는 알수 있지만 834번 포 
구처 럼 알지 못하는 봉사도 있습니다. 봉사목록을 가지고 그에 해당한 봉 
사형태 를 검 사할수도 있습니 다. 
cat /etc/services I grep 834 


다음으로 netstat 와 Isof 지 령을 사용하여 포구에 대한 정보를 검사합니다. 
Netstat 를 리용하여 834포구를 검 사한 다음과 같은 실례를 보여줍니다. 
netstat -anp I gerp 834 

tcp 0 0 0.0.0.0:834 0.0.0.0:* LISTEN 653/ypbind 


Netstat 에서 열린포구의 존재는 크랙커가 이 명령을 리용하여, 침입된 체 
계 에서 포구를 열지는 못하기 때문에 안심할수 있습니 다. [p] 설정값은 열린 
포구봉사의 PID(process ID) 를 나타냅니 다. 이 경우에, ypbind(NIS) 에 속하는 
열린포구들이 나타나는데 이것은 portmap 봉사에 련결되는 RPC 봉사를 조종 
합니 다. 

iso 伊1령은 봉사들에 대한 열린포구들을 결합할수 있기때문에 netstat 와 
류사한 정보를 나타냅니다. 그에 대한 실례를 주었습니다. 
isof -i I grep 834 

ypbind 653 0 7u IPv4 1319 TCP *:834 (LISTEN) 

ypbind 655 0 7u IPv4 1319 TCP *:834 (LISTEN) 

ypbind 656 0 7u IPv4 1319 TCP *:834 (LISTEN) 

ypbind 657 0 7u IPv4 1319 TCP *:834 (LISTEN) 


이와 같은 지 령들에 대하여 구체적으로 알려면 isof, netstat, nmap 에 대한 


22 




도움말을 보면 됩니다. 


제 3 절 Single Sign-On(SSO) 

《붉은별》봉사기 용체 계 3.0 판 SSO 기 능은 체 계탁상형리용자들이 자기 들 
의 암호를 입력하여 가입하는 회수률 감소시킴니다. 몇가지 전문프로그람 
들은 리용자들이 접 속시 작화면으로부터 《붉은별》봉사기 용체 계 3.0 판에 가 
입한 다음 그들이 다음번 가입을 할 때 암호를 다시 입력하지 않고 그냥 
가입하도록 하는 기 능을 수행합니 다. 

추가적으로 사용자들은 망이 없는 곳에서 (offline 방식) 혹은 무선접속과 
같이 망련결성 이 믿음성 이 없을 때조차 자기들의 콤퓨터 에로 가입할수 있 
습니다. 망련결성의 믿음성이 없을 때에는 봉사들이 많이 퇴화될것입니다. 

1. ^1 원동}•는 기 능 (Supported Applications) 

《붉은별》봉사기용체계 3.0 판에서 단일화된 가입구성에 의하여 제공된 

프로그람들을 보여 줍니다. 

• Login 

• Screensaver 

• Firefox 

2. 인증방식 

《붉은별》봉사기용체계 3.0 판은 현재 다음과 같은 인증방식을 제공하고 
있습니다. 

• Kerberos name/password login 


3. sso 의 우점 

많은 보안봉사들이 현재 많은 통신규약들과 신용있는 기억장들을 리용 
합니 다. 실 례 로 SSL , SSH , IPsec , Kerberos 등을 포함하고있습니 다. 《붉은별》 
봉사기용체계 3.0 판의 SSO 는 우에서 제시된 요구들을 제공하기 위하여 이 
것들을 통합하고있습니다. 
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이것은 Kerberos 와 X .509 v 3 인증들을 교체한다는 의미가 아니라 오히려 
그것 들을 관리 하는 관리 자들과 체계 사용자들의 편리 성 을 위 하여 그것들을 
통합하는 수단인것입니다. 


제 4 절 PAM(Pluggable Authentication Modules) 

체계에 접속하는 사용자들을 허락하는 인증프로그람들은 매 사용자들 
의 개별적인 식별자를 확인하는 방식으로 인증합니다. 즉 이것은 사용자 
들이 자기가 누구라는것을 밝히는 과정 입니다. 

대체로 매 프로그람들은 사용자들을 인증하기 위한 하나의 방법만을 
가지 고있습니 다. 《붉은별》봉사기 용체 계 3.0 판에 서 는 많은 프로그람들이 
PAM(pluggable authentication modules ) 라고 부르는 집 중형인 증체 계 를 리용 
하여 설정되 여있습니 다. 

PAM 은 접 속할수 있는 모둘구성 방식 을 사용하는데 이 것은 체 계관리 자 
가 체계에 인증방책을 설정 하는데 서 많은 편리성을 가지게 합니다. 

대부분 PAM-aware 응용프로그람들을 위한 기정 PAM 설정화일들은 충 
분하게 설정되 여있습니 다. 그러 나 때때 로 PAM 설정화일들을 편집할 필요 
가 있습니다. 그것은 PAM 의 잘못된 설정이 체계보안을 위태롭게 할수 
있기때 문입 니 다. 그러 므로 무엇 보다먼 저 이 화일들의 구조를 리해 하는것 
이 중요합니다. 

PAM 은 다음과 같은 우점 을 가지 고있습니 다. 

• 다양한 응용프로그람들과 함께 사용될수 있는 일반적 인 인증체계 

• 좋은 유연성 과 함께 체 계 관리 자들과 응용프로그람개 발자들을 위한 
인증을 둘다 조종합니다. 

• 하나의 단일화된 완벽한 문서 서고를 가지 고있는데 이 것은 자기 의 
인 증방식 을 생 성하지 않아도 프로그 람을 개 발하는 개 발자들 이 리 
용가능하게 되 여있습니 다. 

1.PAM 설정화일 

/ etc/pamd 등록부에 매개의 PAM-aware 응용프로그람들을 위한 PAM 

설 정 화일들이 있습니 다. PAM 의 이 전 판본들에 는 / etc / pam.conf 화일 이 
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사용되였지만 이 화일은 현재 쓰이지 않으며 다만 / etc / pam.d 등록부가 
존재하지 않을 때에만 사용됩니다. 

PAM 봉사화일들 

매개의 PAM-aware 응용프로그람들과 봉사들은 / etc/pamd 등록부안 
에 하나의 화일을 가지고있습니다. 이 등록부에 있는 매 화일은 접근 
을 조종하기 위한 봉사와 같은 이 름으로 되 여있습니 다. 

PAM-aware 프로그람은 자기의 봉사이름을 정의하고 / etc/pamd 등록 
부안에 자기의 PAM 설정화일을 설치 합니 다. 실례로 login 프로그람 은 
자기의 봉사이름을 login 으로 정의하며 / etc / pamd/login 으로 PAM 설 
정 화일을 설 치합니 다. 


2.PAM 설 정화일 양식 

매개 의 PAM 설정화일은 다음과 같은 양식 으로 되 여있습니 다. 
cmodule interiace > <control fa ] g > <modul name〉〈module arguments 〉 

1) 모들대 면부 (Module Interface) 

PAM 모둘대면부의 4가지 형태가 현재 쓰이고있습니다. 이것은 인증공정 
의 여러가지 측면들을 나타냅니다. 

• auth - 이 모둘대 면부는 인증을 진행 합니 다. 실례 로 통과암호의 정 
당성을 요구하고 확증합니다. 이 대면부의 모둘은 그룹성원들과 
혹은 Kerberos 표들과 같은 증서 들도 설정 할수 있습니 다. 

• account - 이 모둘대면부는 접속이 허 락되는가를 검 증합니다. 실례 
로 사용자식별자가 유효한가, 혹은 사용자가 어느시간에 가입하였 
는가 등을 검사할수 있습니 다. 

• password - 이 모둘대 면 부는 사용자통과암호를 바꾸는데 리 용됩 니 
다. 

• session - 이 모둘대 면부는 사용자쎄션들을 설정 하고 관리합니 다. 
또한 사용자의 home 등록부률 mount 하거 나 사용자 우편함을 유용 
하게 만드는것과 같은 접속들을 허용하는것이 필요되는 추가적인 
과제 들을 수행할수도 있습니 다. 
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주의 : 개별적인 모둘은 임의의 혹은 모든 모둘대면부들을 제공할수 
있습니다. 실례 로 pam _ unix.so 는 모든 4 개의 모둘대 면부들을 제 공합니 
다. 


PAM 설정화일에서 모둘대면부는 첫번째 마당에서 정의됩니다. 실례 
로 다음과 같이 설정할수 있습니 다. 
auth required pam _ unix.so 

이것은 pam _ unix.so 모둘의 auth 대면 부를 리 용하는 PAM 을 보여 줍니 
다. 

묶어 진 모둘대면부들 

모둘대면부지령들은 하나로 묶어질수 있습니다. 이렇게 함으로써 
여러가지 모둘들을 하나의 목적으로 함께 사용할수 있습니다. 모둘조 
종기발이 “ sufficient ” 혹은 “ requisite ” 값으로 사용된다면 모둘들이 목 
록화되 여 있는 순서 가 인증공정 에 서 중요합니 다. 

Stacking (묶기 )을 리 용하면 관리 자가 사용자들의 인증을 허 용하기 전 
에 존재하는 특정 한 조건들을 요구하기 쉽 게 됩 니 다. 실례 로 reboot 지 
령 은 서 보여주는 바와 같이 일반적 으로 여 러개의 모둘들을 함께 사 
용합니 다. 

[ root@localhost 시# cat / etc / pam . d/reboot 
#% PAM -1.0 

auth sufficient pam _ rootok.so 
auth required pam _ 조작탁. so 
#auth include system_auth 
account required pam _ permit.so 

• 첫번째행은 설명문이므로 공정절차를 나타내지 않습니다. 

• auth sufficient pam _ rootok.so - 이 행 은 pam _ rootok.so 모듈 이 UID 가 
0인 가를 확인 함으로써 현재 사용자가 root 인 가를 검 사하는것 을 보 
여 줍니 다. 

• auth required pam _ 조작탁. so - 이 행 은 사용자가 인 증하는것 을 시 도 
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하는 pam _ 조작탁. so 모둘을 리용합니 다. 만일 이 사용자가 조작탁 
에 이 미 가입되 여있다면 pam _ 조작탁. so 는 / etc / security / 조작탁. apps / 
등록부에 봉사이름 ( reboot ) 와 같은 이름으로 화일이 있는가를 검사 
합니다. 만일 화일이 존재하면 인증은 성공하며 다음 모둘에로 넘 
어 갑니 다. 

• #auth include system-auth - 이 행은 설명행입 니다. 

• account required pam _ permit.so - 이 행 은 root 사용자 혹은 다른 누 
군가가 체계를 재 기동하기 위하여 조작탁에 가입하는것을 허 락하 
는데 리용됩 니다. 

2) 조종기발 

모든 PAM 모둘들은 호출될때 성공 혹은 실패의 결과를 얻어낸다. 
조종기발은 PAM 이 어 떤 결과를 나타내 는가를 말해 줍니다. 모둘은 부 
분적인 순서에 따라 묶어질수 있으며 조종기발은 부분모둘의 성공 혹 
은 실패가 봉사에로 사용자인증의 종합적인 성공이 얼마나 중요한가 
를 결 정합니 다. 

조종기발에 는 4가지 가 있습니 다. 

• required - 모둘결과는 다음 공정 을 계 속하기 위 하여 인증이 성 공되 
여야 합니다. 만일 여기서 검사가 실패하였다면 그 대면부를 참조 
하는 모든 모둘검 사의 결과가 완성 될 때 까지 사용자에 게 통지되 지 
않습니다. 

• requisite - 모둘결과는 다음공정 을 계 속하기 위 하여 인증이 성 공되 
여야 합니다. 그러나 만을 여기서 검사가 실패한다면 사용에게는 
처음으로 실패된 required 혹은 requisite 모둘검사를 되돌리는 통보 
문를 즉시 에 통지되 지 않습니 다. 

• sufficient - 모둘결과는 만일 그것 이 실패 한다면 무시 됩 니 다. 그러 
나 만일 sufficient 기 발을 가진 모둘결과가 성 공하고 required 기 발을 
가진 실패된 이 전공정모둘이 없다면 다른 요구결과들이 없으며 사 
용자는 봉사에 인 증됩 니다. 

• optional - 모둘결 과는 무시 됩 니 다. optinal 로 기 발설 정 된 모둘은 다 
만 그 대면부를 참조하는 다른모둘이 없을 때 성과적인 인증을 위 
하여 필 요하게 됩 니다. 
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이 밖에 도 PAM 을 위한 쓸모있는 조종기발들이 나오고있습니 다. 

Parad 에 대한 도움말과 PAM 문서는 / usr/s hare/doc /pa m - < vers io n - num 
ber >/ 등록부에 있는데 여기서 eversion - number 〉 는 체계에 있는 PAM 
의 판본번호입니다. 

3) 모듈이름 

모둘이름은 특정한 모둘대면부에 있는 삽입가능한 모둘의 이름으로 
PAM 을 규정 합니 다.《붉은별》봉사기 용체 계 3.0 판의 이 전판본들에 서 는 모 
둘의 경 로가 PAM 설 정 화일 에 제 시 되 여 있 없습니 다. 그러 나 다중서 고체 계 
들이 출현함으로서 / lib 64/ security / 등록부에 64 -bit PAM 모둘들이 보관되 
며 등록부이름은 생략되였습니다. 왜냐면 응용프로그람은 libpam 의 적당 
한 판본에 련결되 여있는데 이 때 모둘의 정 확한 판본을 지 적할수 있기 때 
문입니다. 

4) 모듈인수 

PAM 은 일 부 모둘을 위한 인 증을 진 행 하는 기 간 삽 입 가능한 모둘로 
정 보를 보내 기 위한 인수를 사용합니 다. 

실례로 pam _ userdb . se ) 모둘은 사용자를 인증하기 위하여 KIMDB 화일에 
보관된 정 보를 리용합니 다. KIMDB 는 많은 응용프로그람들에 삽입 된 공 
개원천자료기 지체계 입 니 다. 그 모둘은 db 인수를 가지 고있음으로 하여 
Berkeley DB 는 요구되 는 봉사를 위 하여 사용되 는 자료기 지 가 어 느것 인가 
를 알수 있습니다. 

실례를 보여주었습니다. 여기서 < path - to - file 〉 은 KIMDB 자료기지화일 
의 경로입니다. 

auth required pam _ userdb.so db =< path - to - file > 

무효인수들은 일반적 으로 무시되 며 PAM 모둘의 성 공과 실패 에 영 향을 
미 치 지 않습니 다. 그러 나 일부 모둘들은 무효인수들에 의하여 실패할수 
도 있습니다. 대 부분의 모둘들은 / var / log/secure 화일 에 오유를 리력 합니 
다. 

3.PAM 설정화일들의 견본 

PAM 응용프로그람 설 정화일의 견본을 보여 줌니 다. 
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#% PAM -1.0 

auth required pam _ securetty.so 

auth required pam _ unix.so nullok 

auth required pam _ nologin.so 

account required pam _ unix.so 

password required pam _ cracklib.so retry =3 

password required pam _ unix.so shadow nullok use_authtok 

session required pam _ unix.so 

• 첫행은 # 표식 으로 시 작된 설명 문입 니 다. 

• 두번째부터 네번째까지의 세 모둘들은 인증가입을 위한 묶음입니 
다. 

- auth required pam _ securetty.so - 이 모둘은 만일 사용자가 root 
로 가입 한다면 사용자가 가입 한 tty 가 / etc/securetty 화일(이 화 
일이 존재하면)에 목록화되는것을 보호합니다. 

만일 이 화일에 tty 가 목록화되 여 있지 않으면 Login incorrect 통 
보문으로 root 로써 의 가입 의 실패를 나타냅 니 다. 

- Auth required pam _ unix.so nullok - 이 모둘은 사용자들의 동과 
암호를 요구하며 / etc/passwd 와 / etc/shadow (만일 존재한다면)에 
보관된 정 보를 리용하여 통과암호를 검 사합니 다. 

인수 nullok 는 pam _ unix.so 모둘이 빈통과암호를 허 용하도록 하 
는 기 능을 수행합니 다. 

• auth required pam _ nologin.so - 이것은 인증의 마지막 단계입니다. 
/ etc/nologin 화일이 존재하는가률 검사합니다. 만일 존재하고있으며 
사용자가 root 가 아니 면 인 증은 실 패합니 다. 

주의 : 이 실례에서는 첫번째 auth 모둘이 실패하였어도 모든 3 개 
의 auth 모둘들이 검사되였습니다. 이것은 사용자가 자기의 인증이 
어느단계에서 실패하였는가를 알수 없게 합니다. 이것은 공격자들 
에게 기회를 제공하게 되며 또한 체계를 공격하기 위한 방법을 더 
쉽 게 찾을수 있 게 됩 니다. 
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• account required pam _ unix.so - 이 모둘은 임의의 필요한 사용식별 
자확인을 진행합니 다. 실례 로 shadow 통과암호들이 능동화되 였다면 
pam _ unix.so 모둘의 account 대 면부는 사용자식 별자가 탈퇴되 였는가, 
혹은 제정된 기간안에 통과암호를 바꾸지 않았는가 하는것을 검사 
합니 다. 

• password required pam _ cracklib.so retry =3 - 만일 동과암호가 기한이 
지 났다면 pam _ cracklib.so 모둘의 통과암호구성 부분은 새 암호를 요 
구합니다. 다음 새로 설정된 암호가 사전에 기초한 통과암호해득 
프로그람으로 쉽게 풀리지 않는가률 검사합니다. 

- 인수 retry =3 은 만일 검 사가 첫번째 에서 실패하였다면 사용자 
가 강한 암호률 설정할수 있는 기회를 2 번 더 주게 됩 니다. 

• password required pam _ nuix.so shadow nullok use_authtok - 이 행 은 다 
음과 같은 내용을 담고있습니다. 즉 만일 프로그람이 사용자의 통 
과암호를 바문다면 그를 위하여 pam _ unix.so 모둘의 password 대 면 
부를 사용하여 야 합니다. 

- 인수 shadow 는 사용자의 통과암호가 갱신될 때 shadow 통과암 
호를 생 성 하기 위한 모둘을 나타냅 니 다. 

- 인수 nullok 는 사용자가 빈 통과암호로 자기의 통과암호를 바 
꾸는것을 허 용하도록 모둘을 설정합니 다. 

- 이행의 마지막 인수인 use_authtok 는 PAM 모둘을 묶을 때 순 
차의 중요성을 보여주는 좋은 실례로 됩니다. 이 인수는 모둘 
이 사용자들에게 새로운 통과암호를 재촉하지 않게 합니다. 
대신에 이것은 이전 통과암호모둘에 의하여 기록된 임의의 통 
과암호를 수락합니다.이 방법 에 의하여 모든 새로운 통과암호 
들이 접수되 기전에 보안 통과암호를 위한 pam _ cracklib.so 검 
사를 동과하여 야 합니다. 

• session required pam _ unis.so - 마지 막 행 은 session 을 관리 하기 위 한 
pam _ unix.so 모둘의 session 대 면부를 나타냅 니 다. 이 모둘은 사용자 
이름과 봉사형태를 / var / log/secure 에 매 쎄션의 시작과 끝에서 리 
력합니 다. 이 모둘은 그것 을 추가적 인 기 능을 위한 다른 쎄 션 모둘 
들과 결합함으로써 보충될수 있습니다. 
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4. PAM 모듈의 생 성 


PAM-aware 응용프로그람을 리 용하는 임의의 시 간에 PAM 모둘을 생 
성하거 나 추가할수 있습니다. 

실 례 로, 개 발자는 단일회 수통과암호생 성방법 을 만들고 PAM 모둘에 
추가할수 있습니다. PAM-aware 프로그람들은 즉시 새로운 모둘과 통 
과암호를 재콤파일하거나 다른 변경이 없이 사용할수 있습니다. 

이것은 개발자들과 체계관리자들이 재콤파일이 없이 여러가지 프로 
그람들을 위한 인증방법을 실험하는데 리용됩니다. 문서는 
/ usr / share / doc / pam -< version - number 〉/ 등록부안에 작성 되 여 있습니 다. 여 기 
서 < version - number 〉 는 체계 에 있는 PAM 의 판본번호입 니 다. 

5. PAM 과 관리 자증서 숨기 기 

《붉은별》봉사기용체계 3.0 에서 많은 관리도구들은 pam _ timestamp.so 
모둘을 리용하여 5분안에 사용자들의 권 한을 높여 줍니다. 그것 은 어 떻 
게 이 도구가 동작하는가를 러해하는것이 중요합니다. 왜냐면 
pam _ timestamp.so 가 있는 말단으로부터 동작하는 사용자들이 조작탁에 
물리 적 으로 접 근하는 누군가에 의 하여 조작되 여 이 것을 여 는 효과를 
가지기 때문입니다. 

PAM 시 간계수체계 에서 는 도형방식관리응용프로그람이 사용자가 root 
통과암호로 가입하도록 요구합니 다. 사용자가 인증되 면 

pam _ timestamp.so 모둘은 시 간계수화일을 생성 합니 다. 기 정으로 이 것은 
/ var / run / sudo / 등록부에 생성됩 니다. 만일 시 간계수화일 이 이 미 존재하면 
도형방식 관리프로그람들은 통과암호를 요구하지 않습니다. 대신에 
pam _ timestamp.so 모둘은 시간계수화일을 갱신하고 사용자에게 추궁을 
하지않는 관리 적접 근의 보충적 인 5분이 라는 시 간을 줌니 다. 

/ var / run / sudo /< user > 화일을 조사함으로써 시간계수화일의 실제상태를 
검 증할수 있습니다. 화면상에 는 그 화일 이 unknownxoot 로 나타납니 다. 
만일 그것 이 현시되 고 그의 시 간계 수가 5 분보다 작으면 증서 들이 타탕 
한것 으로 됩 니다. 
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시 간계수화일의 존재는 통로의 공시구역 에 인증아이 콘으로 나타납니 
다. 

1) 시 간계 수화일 삭제하기 

PAM 시 간계수기 가 실행되 는 조작탁을 끄기전 에 그것 은 시 간계수화일 
이 파괴되는가를 검사합니다. 

PAM 시간계수화일에 대하여 다음과 같은 내용을 참작하여야 합니 
다. 

• 만일 ssh 를 리용하여 원격 으로 체계 에 가입하였다면 
/ sbin / pam _ timestamp_check -k root 지령을 사용하여 시간계수화일을 
파피하여야 합니다. 

• 또한 권한을 가진 응용프로그람을 실행하고있는 같은 말단 창문에 
서 / sbin / pam _ timestamp_check - k root 지령을 실행하여야 할 필요가 
있습니다. 

• / sbin / pam _ timestamp_check -k 지령을 리 용하기 위 하여 
pam _ timestamp.so 모둘을 원 래 부터 불러 들이는 사용자로써 가입하 
여야 합니다. 이 지령을 리용하기 위하여 root 로 가입하지 말아야 
합니 다. 

• 만일 화면상에 증서들을 끄고 싶다면 다음과 같은 지령을 실행하 
여야 합니다. 


/sbin/pam_ti_estamp_check -k root </dev/null >/dev/null 2>/dev/null 


이 지령의 실행이 실폐하면 모든 증서들이 지령을 실행하고있는 pty 
로부터 삭제될것입니다. 

2) 일반적 인 pam_timestamp 지 령 들 

Pam _ timestanp.so 모듈은 여 러 가지 지 령 들을 가지 고있습니 다. 2 개 의 
가장 대 표적 인 지 령 들을 소개합니 다. 

• timestamp_timeout - 시간계수화일이 효력을 가지는 기간을 초단위 
로 확정합니 다. 기 정값은 300 이 다 (5 분). 

• timestampdir - 시 간계 수화일 이 보관되 는 등록부를 확정합니 다. 기 
정 값은 八， ar / run / sudo / 입 니 다. 
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6. PAM 과 장치 소유권 (Device Ownership) 

《붉은별》봉사기 용체 계 3.0 판에 는 콤류터 의 물리 적조작탁에 가입한 첫번 
째 사용자가 정해진 장치를 조종할수 있으며 root 사용자로서 진행하는 
일반적 인 정해진 과제률 수행할수 있습니 다. 이 것은 pam _ 조작탁. so 라고 
부르는 PAM 모둘에 의하여 조종됩 니다. 

1) 장치소유권 

사용자가《붉은별》봉사기 용체계 3.0 판 체계 에 가입하면 pam _ 조작탁. so 
모둘은 login 에 의 하여 호출됩 니다. 만일 이 사용자가 조작탁에 처 음으로 
가입하는 사용자라면 (조작탁 사용자)그 모둘에 의하여 사용자가 root 로 
서 일 반적 으로 소유하고있는 여 러 가지 장치 들의 소유권 을 가지 게 됩 니다. 
그 조작탁 사용자는 그 사용자가 끝내는 마지막 국부쎄션까지 이 장치들 
을 소유하게 됩 니다. 이 사용자가 가입탈퇴한후에 장치 들의 소유권은 
root 사용자에 게 로 다시 되 돌아갑니 다. 

장치 들에 는 음성 카드, floopy 디 스크구동기, CD-ROM 구동기 등이 포함되 
는데 이 것 으로 제 한되 는것 은 아닙 니다. 

국부사용자는 root 접근이 없이도 이 장치들을 조종할수 있습니다. 그 
리 므로 조작탁사용자는 간단한 일 반 업 무를 진 행할수 있습니 다. 

다음과 같은 화일들을 편집함으로써 pam _ consloe.so 에 의하여 조종되 
는 장치 의 목록을 작성할수 있습니 다. 

• / etc / security / 조작탁. perms 

• / ete / security / 조작탁. perms . d /50- default.perms 

우의 화일들에서 기 정으로 설정되 여있는 내용을 편집하여 여 러 가지 
장치 들을 추가하거 나 변경 시 킬수 있습니 다. 이 때 50- default.perms 화일을 
변경시키기 보다는 오히려 새로운 화일을 생성하고 거기에 요구되는 항 
목을 입 력 하는것 이 좋을것 입 니 다.(실 례 로 xx - name . perms ) 새 롭게 작성 하 
는 화일은 이름이 50 보다 큰 수자로 설정되여야 합니다. (실례로 
51- default . perms ) 이 것 은 기 정 으로 있는 50- defeult.perms 화일 을 갱 신 할것 입 
니 다. 
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2) 응용프로그람접 근 

조작탁 사용자는 / etc / security / 조작탁. apps / 등록부안에 사용하기 위한 적 
당한 프로그람들을 설정함으로써 그에 대한 접근도 진행할수 있습니다. 

이 등록부 안에는 /sbin 과 / usr/sbin 등록부에 있는 응용프로그람들을 실 
행할수 있도록 조작탁사용자를 허 용하도력 하는 설정 화일들이 들어있습 
니 다. 

이 설정화일들은 설치되여있는 응용프로그람들과 같은 이름으로 되여 
있습니다. 

다음과 같은 실 례 에서 보여주는 바와 같이 조작탁사용자가 체계의 끄 
기 나 재 기동과 같은 3개의 프로그람들에 접 근할수 있습니 다. 


• / sbin/halt 

• / sbin/reboot 

• / sbin/poweroff 

이 것 들은 PAM-aware 응용프로그람들이기 때 문에 그것 들은 사용할때 
pam _ 조작탁. so 모듈을 호출한다 

7. 추가자원들 

서 서 술되 는 자원들은 PAM 을 설 정 하고 사용하기 위한 상세한 방법 들 
을 보여줍니다. 이 자원들의 지 원으로 체계 에서 PAM 설정화일들을 어 떻 
게 구성되 여있는가를 더 욱 쉽 게 리해할수 있습니 다. 

설 치 된 PAM 문서 화 

• PAM - 관련도움말폐지 - PAM 에 대한 여러가지 응용프로그람들과 
설정화일들을 위하여 여러개의 도움말페지들이 존재합니다. 

설정화일들 

- pam - PAM 설 정 화일 들의 구조와 목적 을 포함하는 PAM 에 대 
한 소개 적 인 정 보가 있습니 다. 이 페 지 들은 / etc / pam,conf 와 
/ etc / pamd / 등록부에 있는 개 별 적 인 설 정 화 일 들에 서 술되 여 있습 
니 다. 기 정 으로《붉은별》봉사기 용체 계 3.0 판 는 / etc / pamd / 등 
록부에 있는 개 별적 인 설정 화일들을 리용하며 만일 그것 이 존 
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재 하여 도 / etc/pamconf 는 무시 합니 다. 

- pam _ 조작탁 - pam _ 조작탁 . so 모듈의 목적을 나타냅니 다. 또한 
PAM 설 정화 일 에 입 력 하는 문장구성 법 을 나타내 기 도 합니 다. 

- 조작탁 . apps - / etc / security / 조작탁 . apps 설 정 화일 안에 쓸모있는 형 
식들과 기능들을 나타내는데 이것은 PAM 에 의하여 설계된 
조작탁 사용자가 접 근할수 있는 응용프로그람을 정 의합니 다. 

- 조작탁 .perms - / etc / security / 조작탁 .perms 설정화일안에 쓸모있는 
형식들과 기능들을 나타내는데 이것은 PAM 에 의하여 설계된 
조작탁 사용자 허 락을 특정화합니다. 

- pam_timestarnp — pam _ timestamp.so 모듈을 나타냅 니 다. 

• / usr / share / doc / pam - < version - number > - 여기에 대하여서는 많은 문서 
들에 나와 있습니다. 

• / usr / share / doc / pam -< version - number >/ txts / README . pam_timestamp - 
여기서는 pam _ timestamp.so PAM 모듈에 대한 정보가 있습니다. 여 
기 서 〈 version - number 〉 는 PAM 의 판번 호입 니 다. 


제 5 절 TCP Wrapper 와 xinetd 

망봉사들에 로의 접 근을 조종하는것 은 봉사기 관리 자들에 게 있 어 서 가장 
중요한 보안문제 입 니 다.《붉은별》봉사기 용체 계 3.0 판은 이 려 한 기 능을 수 
행하는 여 러가지 도구들을 제공합니 다. 실례로, iptables 에 기초한 방화벽 
이 있는데 이 우점 은 망파케 트들을 려 과합니 다. 그를 위한 망봉사기 로서 
TCP Wrapper 는 ‘ Nvrapped ” 망봉사들에 접 속을 허 락하지 않거 나 호스트들이 
정의되는 보안추가계층을 추가합니다. 매 개별적인 망봉사는 xinetd 대형 
봉사기입니다. 이 봉사는 망봉사들의 부분설정에로의 련결을 조종하고 
더 우기 접 근조종을 진 행 하므로 대 형봉사기 라고 합니 다. 

여기서는 망봉사들에 대한 접근조종에서 TCP Wrapper 와 xinetd 의 규칙 
들과 이 도구들에 대 한 가입 과 리 용, 관리 에 서 나서 는 몇 가지 문제 들에 
대 하여 서 술합니 다. 

1. TCP Wrapper 

TCP Wrapper 패키 지 ( tcp _ wrappers ) 는 기 정 으로 설치되 여 있으며 망봉사 
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들에 대한 host 준위의 접근조종을 제공합니다. 패키지에서 가장 중요한 
부분품은 / usr / Kb / libwrap.a 서 고입 니 다. 

TCP-Wrappers 봉사에 련결을 시 도하면 봉사는 우선 의뢰 기가 허 용되 였 
는가를 결정하기 위 하여 host 의 접근화 일 (/ etc / hosts.allow 와 
/ etc / hosts . deny ) 를 확인합니다. 대부분의 경우에 / var / log/secure 혹은 
/ var / log/messages 에 요구되 는 봉사와 요구하는 의 뢰 기 의 이 름을 쓰기 위 
하여 syslog 대 몬을 리 용합 니 다 . 

만일 의뢰기 가 접 속이 허 용되 였다면 TCP Wrapper 는 요구한 봉사에로 
의 접 속을 조종하며 의뢰 기와 봉사기사이의 통신을 진행 합니 다. 

접 근조종과 가입 을 위하여 추가적 으로 TCP Wrapper 는 요구한 망봉사 
에로의 련결에 대한 조종을 거부하거 나 풀어놓기전에 의뢰기와 호상작용 
하기 위한 지 령 들을 실 행합니 다. 

TCP Wrapper 는 봉사기 관리 자들을 위 한 보안도구들의 집 합체 이 므로 
《붉은별》봉사기 용체계 3.0 판에서 의 대부분의 망봉사들은 Ubwrap.a 서 고 
에 련결되여 있습니 다. / usr / sbin / sshd , / usr/sb in/send mail , / usr / sbin/xinetd 를 포 
함하는 일부 개별적인 응용프로그람들이 있습니다. 

주의 : 만일 망봉사가 libwrap.a 에 련결되였는가를 알아보려면 다음과 
같은 지 령 을 실 행 하면 됩 니 다. 


ldd < binary - name > I grep lib wrap 


여 기서 < binary - name 〉 은 망봉사 binary 의 이 름입 니 다. 만일 지 령실행후 
출력이 없으면 망봉사는 그와 련결이 되지 않은 상태입니다. 
/ usr / sbin/sshd 가 libwrap.a 와 련결된 실례를 보여주었습니 다. 

[ root@localhost 〜]# ldd / usr / sbin/sshd I grep lib wrap 
Libwrap . so.O => / lib / libwrap . so.O (0 x 00655000) 

[ root@localhost 〜] # 

TCP Wrapper 의 우점 

TCP Wrapper 는 망봉사조종기 술을 위 한 다음과 같은 우점 들을 가지 고있 
습니 다. 

• 의뢰기 와 망봉사사이의 투명 성 - 의뢰기와 봉사기 ( wrapped ) 사이 
의 련결은 TCP Wrapper 가 사용되고있다는것을 알지 못합니다. 합 


36 



법적인 사용자들은 요구되는 봉사에 가입을 하고 련결을 진행합니 
다. 

• 복합통신규약의 중심 적 관리 - TCP Wrapper 는 그것 이 보호하고있 
는 망봉사들로부터 개 별적 으로 조작합니 다. 이 때 접 근조종설정화 
일들의 일반적 인 모임 을 공유하기 위하여 많은 봉사기응용프로그 
람들이 허 용되 여있으며 이 로 하여 관리 가 보다 편리합니 다. 

2. TCP Wrapper 설 정 화 일 

의뢰기가 봉사에로의 련결이 허용되는가를 알아보기 위하여 TCP 
Wrapper 는 호스트접 속화일로서 일반적 으로 제공하는 다음과 같은 2개의 
화일을 보여줌니다. 

• / etc / hosts , allow 

• / etc / hosts.deny 

TCP-wrapped 봉사는 의뢰기 요구를 접수한후 다음과 같은 단계를 실 

행 합니 다. 

• / etc / hosts.allow - TCP-wrapped 봉사는 련속적 으로 / etc / hosts.allow 화 
일 을 분석 하고 봉사를 위한 규칙 들을 설 정합니 다. 만 일 규칙 과 맞 
으면 그것은 접속을 허용하고 그렇지 않으면 다음 단계로 넘어갑 
니 다. 

• / etc / host.deny - TCP-wrapped 봉사는 / etc / hosts.deny 화일 을 분석 합니 
다. 이때 규칙에 맞으면 련결을 거부하고 그렇지 않으면 봉사에로 
접 속을 진 행합니 다. 

망봉사들을 보호하기 위 한 TCP Wrapper 사용에 서 고려 하여 야 할 중요 
한문제점들이 있습니다. 

• hosts.allow 화일에 있는 접속규칙들이 먼저 확인되기 때문에 이것 
은 hosts.deny 보다 앞선 공정 으로 됩 니 다. 그러 므로 만일 
hosts.allow 에서 봉사의 접 속이 허 용되 면 hosts.deny 에 있는 거부규 
칙들은 무시됩니다. 

• 매 규칙화일을 읽을 때 우에서부터 아래로 검색하며 주어진 봉사 
에 대 한 첫 일치 된 규칙 은 한번만 리행됩 니다. 그러 므로 규칙 의 
순서를 잘 정하는것 이 매우 중요합니다. 
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• 만일 봉사에 대한 규칙이 존재하지 않으면 또는 화일이 존재하지 
않으면 봉사에로의 접속은 인정됩니다. 

• TCP-Wrapped 봉사들은 호스트접속화일들로부터 규칙들을 캐 쉬 하지 
않습니다. 그러므로 hosts.allow 나 hosts.deny 의 그 어떠한 변화도 
봉사를 재 기동함이 없 이 즉시 에 효력 을 나타냅 니 다. 

경 고 : 만일 호스트접 근화일의 마지 막행 이 빈 행 (Enter 건을 누름으로서 생 
성되는 행)이 아니라면 마지막규칙이 실패로 되며 오유가 
/ var / log/messages 혹은 Avar / log / secure / 에 보관됩 니 다. 이 와 같은 실 례를 보 
여 줍니 다. 

warning : / etc / hosts . allow , line 20: missing newline or line too long 

1) 접근규칙형식화 

/ etc / hosts . allow 와 / etc / hosts . deny 에 대한 형식은 같습니다. 매 규칙은 자 
기 의 행 을 가져 야 하며 빈 행 들이나 T 로 시 작되 는 행 은 무시 됩 니다. 

매 규칙 은 다음과 같은 기본적 인 형식을 리용합니 다. 

〈daemon list〉:<client list 〉 [: 〈 option 〉:〈 option 〉: ...] 

• <daemon list > - 처 리 이름들이 나 혹은 모든 wilecard (봉사이름이 아 
님)들이 반점으로 구분되여 목록화되여 있습니다. 대몬목록은 매우 
편리한 조작들을 진행할수 있습니다. 

• <c lie nt list 〉- 호스트이름들, 호스트 IP 주소, 특정 한 패턴 확장카드들 
이 반점 으로 구분하여 목록화되 여있습니 다. 

• < option > - 규칙 들을 설 정할때 설 정항목 혹은 두점 으로 구분된 항 
목목록을 나타냅 니 다. 설정마당들은 확장, 쉘지 령 의 실행, 접 근의 
허가와 거부, 가입절차의 변경등을 지원합니다. 

호스트접 근규칙 의 기 초적 인 실례를 보여줍니다. 
vsftpd : . exanple.com 

이 규칙 인 example.com 령 역 에 있는 임의의 호스트로부터 FTP 대몬에로 
( vsflpd ) 련 결을 보기 위 한 TCP Wrapper 를 설 정 합니 다. 만일 규칙 이 
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host.allow 로 되 여 있으면 련결은 접 수됩 니 다. 만일 hosts.deny 로 나타나면 
련결은 거 절됩 니다. 

다음과 같은 실례에서 보여준 접근규칙은 보다 더 구체적이며 2 개의 
설 정마당을 리용합니 다. 

Sshd : . example.com \ : spawn / bin/echo '/ bin / date 5 access denied 〉〉/ var/log 
/ sshd.log \ : deny 

여기서 매 설정마당은 ‘ V 에 의하여 구분됩니다. 

실례규칙 은 example.com 령역 에서 한 호스트로부터 SSH 대몬에로 련결 
을 시 도하는 상태를 보여주는데 이 때 echo 지 령을 실행하면 특정한 리 력 
화일 이 생 겨 나며 련결은 거 부됩 니 다. 그러 므로 deny 설정 이 사용되 면 이 
행 은 hosts.altow 화일 에 서 나타났다고 하여 도 접 근을 거 부합니 다. 

확장카드 

확장카드는 TCP Wrapper 가 대몬들이나 호스트들의 그룹들을 더 쉽 게 
정 합시키게 합니 다. 그것들은 접 근규칙의 의뢰기목록마당에서 대부분 사 
용됩 니 다. 

• ALL - 모든것 이 정 합됩 니 다. 이 것 은 대 몬목록과 의 뢰 기 목록 
에 서 둘다 리용될 수 있습니 다. 

• LOCAL - 국부호스트와 같이 “.’’이 없는 임의의 호스트들을 
정 합합니 다. 

• KNOWN - 호스트이름과 호스트주소를 알고있거나 사용자 
를 알고있는 임의의 호스트를 정합합니다. 

• UNKNOWN - 호스트이름이나 호스트주소를 모르거나 사용 
자를 모르는 호스트들을 정 합합니다. 

• PARANOID - 호스트이름이 호스트주소와 정합되지 않는 
임의의 호스트를 정합합니다. 


패 턴 

패턴들은 의뢰기호스트들의 그룹을 더 정확히 특정화하기 위한 접근규 
칙들의 의뢰기마당에서 리용됩니다. 

의뢰기마당에 들어가는 일반적인 패턴들의 목록을 보여줌니다. 

• 으로 시작하는 호스트이름 - 호스트이름의 시작을 으 
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로 하면 그것은 그 이름의 목록화된 구성부분들을 공유한 모든 호 
스트들을 정합합니다. 실례로 서 보여준 바와 같이 이것은 
example.com 령 역 에 있는 임 의 의 호스트를 접 수합니 다. 

• 으로 끝난는 IP 주소 - 점으로 끝나는 IP 주소는 IP 주소의 
첫 주소를 공유하는 모든 호스트들을 정 합합니다. 다음과 같은 실 
례에서는 192.169. x.x 망의 임 의의 호스트를 접수하는 경우입 니 다. 

ATT ,: 192.168. 

• IP 주소/네 트마스크 - 네 트마스크는 IP 주소들의 부분적 인 모 
임 들에 로의 접 근을 조종하기 위한 패 턴 으로도 사용될 수 있습니 다. 
다음과 같은 실례에서 보는바와 같이 이것은 192.168.0.0 부터 
192.168.1.255 의 령역에 해당한 주소에 대한 임의의 호스트를 접수 
합니 다. 

ALL :192.168.0.0/255.255.254.0 

• [ IPv 6 주소]/ prefixlen - [ net]/prefixlen 쌍은 IPv 6 주소들의 부 
분적 인 그룹에 로의 접 근을 조종하기 위한 하나의 패 턴으로서 사용 
될수도 있습니다. 다음과 같은 실례에서는 3 ffe :505:2: l :: 부터 
3 ffe :505:2: l : ffff : ffff : ffff : ffff : 령역의 주소에 있는 임의의 호스트에로 
접 수됩 니 다. 

ALL :[3 ffe :505:2: l ::]/64 

• 별표 (*) - 별표는 호스트이름이나 IP 주소들의 전체그룹을 
정 합시 키 는데 리 용됩 니 다. 다음과 같은 실례 는 example.com 령 역 의 
임의의 호스트를 허용하는 실례이다 

ALL:*.exanp le . com . 

• 사선 (/) - 만일 의뢰기목록이 슬래쉬로 시작된다면 그것은 
화일이름과 같이 관리됩니다. 이것은 호스트들의 많은 량의 규칙 
들이 필요할때 유용합니다. 다음과 같은 실례는 모든 Telnet 련결을 
위 한 / etc / telnet.hosts 화 일 에 대 한 TCP Wrapper 률 나타냅 니 다. 

In . telnetd : / etc / telnet . ho sts 


Portmap 와 TCP Wrapper 


40 



TCP Wrapper 의 Portmap 대 면 부는 호스트현시 를 제 공하지 않습니 다. 이 
것은 portmap 는 호스트들을 알아보기 위한 호스트이름을 사용할수 없다 
는것 입 니 다. 그러 므로 hosts.allow 나 hosts.deny 에 있는 portmap 를 위 한 접 
근조종규칙들은 IP 주소나 열쇠단어 ALL 을 사용하여야 합니다. 

Portmap 접근조종규칙의 변화는 즉시 효과가 나타나지 않습니다. 즉 
portmap 봉사를 재 기 동하여 야 합니 다. 

NIS 와 NFS 와 같은 광범히 리용되 는 봉사들은 조작에 서 portmap 에 의 
존하므로 이 제 한점 들에 주의 를 돌려야 합니 다. 

조종자 ( operator ) 

현재 접근조종규칙들은 하나의 조종자 EXECPT 를 포함합니다. 그것은 
대몬목록과 의뢰기규칙목록에서 다 사용될수 있습니다. 

EXCEPT 조종자는 같은규칙 에 서 정 합되 는것 외 에 허 용합니 다. 

다음과 같은 hosts.allow 화일에 대한 실례는 모든 example.com 호스트들 
이 cracker.example.com 을 제외 한 모든 봉사들에로의 련결을 허 용합니 다. 
ALL:.exa mple.com EXCEPT cracker, example .com 

서 hosts.allow 화일 에 대 한 다른 실례 는 보여주는데 이 것은 192.168.0.x 
망마스크의 의뢰기들은 FTP 를 제외한 모든 봉사를 리용할수 있습니 다. 
ATT, EXCEPT vsftpd:192.168.0. 


2) 설 정마당 


추가적 으로 접 근을 허 용하거 나 거 부하기 위한 규칙 을 위하여 
TCP Wrapper 의 《붉은별》봉사기 용체 계 3.0 판대 면 부는 설 정 마당을 통한 
접 근조종언 어 를 지 원하고있습니 다. 호스트접 근규칙 에 서 설 정마당들을 
사용함으로써 관리자는 접근조종통합이나 쉘지령의 실행과 같은 여러가 
지 업무들을 수행할수 있습니다. 


가입 

설정마당은 관리 자들이 severity 를 사용함으로써 가입을 쉽게 할수 있도 
록 합니다. 

SSH 대몬으로 접 속하는 실례 는 다음과 같습니 다. 
sshd : .exanple.comiseverityeinerg 
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접근조종 

설정 마당은 관리 자들이 호스트들이 접 속을 허 용하거 나 거 부하는것 을 
조종할수도 있게 합니다. 

다음의 실례와 같이 client - l . example.com 은 SSH 련결이 허용되며 client 
-2. example.com 은 련 결 이 거 부됩 니 다. 
sshd : client - 1 . example.com : allow 
sshd : client -2. exanple.com : deny 

이 과정 을 화일로 관리할수 있는데 그 화일들은 hosts.allow 혹은 
hosts.deny 입 니 다. 일 부 관리 자들은 이 방법 이 접 근규칙 들을 정 의 하는데 
서 더 쉬운 방법으로 여기고있습니다. 

쉴지령 

설 정마당은 접 근규칙 들이 쉘 지 령 을 실 행 하도록 허 용합니 다. 

• Spawn - 자식 공정 과 같이 쉘 지 령 을 실 행 합니 다. 이 지 령 은 

/ usr / sbin / safe_finger 를 리 용하는것 과 같이 과제 를 수행 할수 있습니 

다. 이 것은 의뢰기 가 요구하는것 에 대한 더 많은 정 보를 얻거 나 

echo 지 령을 리용하여 특별한 리 력화일을 생성하기 위하여 리 용됩 
니 다. 

in.telnetd : . exanple.com \ 

: spawn / bin/echo ‘/ bin 八 late ’ from % h »/ var / log / telnet.log \ 

: allow 

•Twist - 요구되는 봉사를 교체합니다. 이 지령은 공격자들을 잡기 위 
하여 자주 사용되는 지 령 입니다. (일명《꿀단지》라고도 합니다.) 그 
것은 련결된 의뢰기들에 통보문들을 보내는데도 사용될수 있습니 
다. 

•vsftpd : . exanple.com \ 

• : twist / bin/echo “Access denied !” 

보충적인 지령들 

이것들은 spawn 과 twist 지령과 같이 사용되면서 의뢰기나 봉사기 프로 
쎄스들에 대한 정보를 얻어내는 역할을 합니다. 
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이 에 대한 항목들을 서술합니 다. 

• % a - 의뢰기의 IP 주소를 되돌립니다. 

• %A - 봉사기 의 IP 주소를 되 돌립 니 다. 

• %c - 사용자이름, 호스트이름 사용자이름과 IP 주소와 같은 
의뢰기의 정 보를 되 돌립 니 다. 

• %d - 대 몬프로쎄 스이 름을 되 돌립 니 다. 

• %h - 의뢰기의 호스트이 름을 되 돌립 니 다. (호스트이 름을 모 
르는 경 우 IP 주소를 되 돌립 니 다.) 

• %H - 봉사기 의 호스트이 름을 되 돌립 니 다. (호스트이 름을 모 
르는 경 우 IP 주소를 되 돌립 니 다.) 

• %n - 의뢰기의 호스트이 름을 되 돌립 니 다. 만일 모르는 경 
우 unknown 을 현시하고 의뢰기의 호스트이 름과 호스트 주소가 정 
합되 지 않으면 paranoid 를 현시 합니 다. 

• %N - 봉사기의 호스트이름을 되돌립니다. 만일 모르는 경 
우 unknown 을 현시하고 봉사기의 호스트이름과 호스트주소가 정 
합되 지 않으면 paranoid 를 현시 합니 다. 

• %p - 대몬의 프로쎄 스正)를 되 돌립 니 다. 

• %s - 대몬프로쎄 스, 봉사기 의 호스트 혹은 IP 주소와 같은 

봉사기의 여러가지 형태의 정보를 되돌립니다. 

• %u - 의뢰기의 사용자이 름을 되 돌립 니 다. 만일 모르는경우 
unknown 을 현 시 합니 다. 

다음과 같은 실례들은 spawn 지령과 련결하여 추가적인 지령들을 사용 
하여 얻을수 있는 표준규칙들을 보여줍니다. 이를 통하여 적 재된 리 력화 
일에서 의뢰기호스트를 식 별할수 있습니 다. 

example.com 령역 에 있는 한 호스트로부터 SSH 대 몬에 의한 련결 이 시 도 

되였다면 이 시도를 보관하기 위하여 echo 지령이 실행되며 이때 %h 를 

리용하여 의뢰기의 호스트이 름이 보관됩 니다. 

이 에 대한 구체적 인 정 보를 얻으러 면 hosts _ access(man 5 hosts _ access ) 의 
도움말과 hosts_optiom 의 도움말을 참고하면 됩 니 다. 

3. xinetd 

xinetd 대 몬은 FTP , IMAP , Telnet 와 같은 일 반적 인 망봉사들의 부분모 임 
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에 로의 접 근을 조종하는 TCP-wrapped super 봉사입 니 다. 그것 은 접 근조종, 
강제 가입 , 속박，재 련결, 원천 리용조종을 위한 봉사특정 설정항목들도 제 
공합니다. 

의뢰기 가 xinetd 에 의하여 조종되는 망봉사에 련결을 시 도할때 super 봉 
사는 요구를 접 수하고 TCP Wrapper 접 근조종규칙 들을 검 사합니 다. 

만일 접 근이 허 용되 면, xinetd 는 그 봉사에 대 한 자기 의 접 근규칙 하에서 
련결을 허 용합니 다. 련결이 실행된후 xinetd 는 의뢰기와 봉사기사이의 통 
신에서 더 이상 그어떠한 부분도 담당하지 않습니다. 

4. xinetd 구성 화일 

xinetd 를 위 한 구성 화일 들은 다음과 같습니 다. 

• / etc / xinetd.conf - 포괄적 인 xinetd 설 정 화일 입 니 다. 

• / etc / xinetd . d / - 이 등록부에는 모든 봉사설정화일들이 있습니 
다. 

1) / etc/xinetdconf 화 일 

/ etc / xinetd.conf 화일 에 는 xinetd 의 조종하에 있는 모든 봉사들에 작용하 
는 일 반적 인 구성설 정항목들이 있습니 다. Xinetd 봉사를 처 음 시 작할 때 
이 화일을 읽습니 다. 그러 므로 이 화일을 변화시 킨 다음에 는 봉사를 재 
기동하여야 합니다. / etc / xinetd.conf 화일의 실례를 보여줍니다. 

Defaults 

{ 

instaces =60 

lo ^ type=SYSLOGauthpriv 
lo ᄂ on _ failure = HOST 
lo ^ on _ success=HOSTPID 
cps =2530 

} 

• instances - xinetd 가 동시 에 처 리 할수 있는 요구의 최대 개 
수를 특정합니 다. 

• to ^ type - / var / log/secure 화 일 에 리 력 을 쓰기 하는 authpriv 리 력 
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을 사용하기 위 한 xinetd 를 구성 합니 다. FILE Avar / log/xinetdlog 와 같 
이 직접 추가하여 Avar / log / 등로 가부에 xinetdlog 라고 부르는 리력화 
일을 생 성합니 다. 

• log _ on_success - 성공적인 련결을 리력하는 xinetd 를 구성 
합니 다. 기 정 으로 원격 호스트의 IP 주소와 프로쎄 스 正) 가 기 록되 여 
있습니다. 

• cps - 임의의 주어 진 봉사에 매 초당 최대로 25개의 련결을 
허 용하도록 xinetd 를 구성합니 다. 만일 이 한계를 넘 으면 30초동안 
대 기 합니 다. 

2) / etc / xinetdd / 등록부 

이 등록부에 는 봉사에 관계되 는 이 름과 xinetd 에 의 하여 관리 되 는 매 
봉사들을 위 한 설정 화일들이 들어 있습니 다. xinetd.conf 에서 이 등록부 
는 xinetd 봉사가 시 작될 때 에만 읽 어집 니다. 어떠한 변화를 진행한 다 
음에 는 xinetd 봉사를 재 기 동하여 야 합니 다. 

이 등록부의 화일형식은 / etc / xinetd.conf 와 같이 같은 형식을 사용합 
니 다. 


이 화일들이 어떻게 구성되여있는가를 알기 위하여 
/ etc / xinetd . d / krb 5 -telnet 화일을 고찰해 보자. 


service 

telnet 

I 

flags = 

: REUSE 

socket_type = stream 

wait = 

no 

user = 

root 

server 

= / usr / Kerberos / sbin/te lnetd 

lo ^ on_failure += USERID 

disable 

= yes 
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제 6 절 Kerberos 

망봉사에 대한 사용자인증은 규약이 리용하는 방법이 안전하지 못할 
때 전통적 인 FTP 와 Telnet 규약들을 리용하여 망을 통하여 암호화되 
지 않은 통과단어들의 전송이 증명해주는것처럼 위험성을 확인할수 
있습니 다. 

Kerberos 는 안전 치 못한 인증방법들을 허용하는 규약들에 대한 요구 
를 제거하는 방법이며 그에 의하여 전반적 인 망보안을 강화합니다. 

1. Kerberos 란 무엇 인가 ? 

Kerberos 는 MIT 가 만든 망인증규약이며 망봉사들에 대한 사용자인증 
을 위 해 대 칭열쇠암호를 리용합니 다. 이 것은 통과단어 들이 망을 통하 
여 사실상 절대로 보내 지 지 않는다는것을 의 미합니 다. 

결과적 으로 사용자들이 Kerberos 를 리용하여 망봉사들을 인증할때 
망통화량을 감시하여 통과단어들을 수집하려고 시도하는 권한없는 사 
용자들을 효과적으로 차단할수 있습니다. 

1) Kerberos 의 우 점 

대 부분의 관습적 인 망봉사들은 통과단어 에 기 초한 인증방식 을 리용 
합니 다. 그러한 방식 들은 망봉사기 에 자기 의 사용자이 름과 통과단어 를 
주어 사용자인증을 요구합니다. 불행하게도 많은 봉사들에서 인증정보 
의 전 달은 암호화되 지 않습니 다. 보안되 여 야 할 그러한 방식 에 대 하여 
망은 외부자들에게 접근불가능해야 하며 망상의 모든 콤퓨터들과 사 
용자들은 신뢰 되 여 야 하며 신뢰받을수 있 어 야 합니 다. 

그러한 경 우에 조차도 인터네 트와 련 결된 망은 더 이 상 안전하다고 가 
정할수 없습니 다. 망에 대 한 접 근을 얻 은 공격 자는 파케 트스니 퍼 라고 
도 하는 간단한 파케 트분석 기 를 리용하여사용자이 름과 통과단어 들을 
가로철수 있으며 사용자계 정 들과 전체보안인프라구조의 완정 성 을 위 
태롭게 합니다. 

Kerberos 의 주요설계목적은 망을 통하여 암호화되지 않은 통과단어 
의 전 송을 없 애 는것 입 니 다. 적 절 하게 리용된 다면 커 버 로스는 아파케 트 
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스니퍼가 망에서 취하는 위협을 효과적으로 제거할수 있습니다. 

2) Kerberos 의 결 함 

Kerberos 가 비록 일반적 이며 엄격한 보안위 협을 제거한다고 해도 여 
러 가지 리 유로 해 서 그것 을 실 현 하기 가 어 려 울것 이 다: 

• 표준 UNIX 통과단어자료기지로부터 /etc/p 때 swd 나 
/etc/shadow 나 같은 사용자통과단어들을 Kerberos 통과단어자료기 
지 에로 이 동시키는것 은 이 것을 자동으로 진행하는 미캐 니즘이 없 
기때문에 싫증날수 있습니다. 

• Kerberos 는 Pluggable Authentication Modules (PAM) system 와 
부분적으로만 호환성을 가집니다. Kerberos 는 매 사용자를 신뢰하 
지 만 신뢰 되 지 않는 망상에 서 신뢰 되 지 않은 호스트를 리용하고있 
다고 가정합니 다. 그의 기 본목적 은 그 망을 통하여 전송되 고있는 
암호화되지 않은 통과단어들을 방지하는것입니다. 그러나 적당한 
사용자가 아닌 3 자가 인증에 리용되 는 증서 률 발급하는 하나의 
호스트 (key distribution center (KDC) 라고 하는)에 대 한 접 근을 가진 
다면 전 체 Kerberos 인 증체 계 는 위 험 에 빠집 니 다. 

• Kerberos 를 리 용하는 애 물리 케 이 션 에 대 하여 그의 원 천 은 
Kerberos 서고들에 대한 적절한 호출을 진행하도록 변경되여야 합 
니 다. 이 방법 으로 변경 된 애플리 케 이 션들을 Kerberos-aware, 또는 
kerberized 되였다고 말합니다. 일부 애플리케이션들에 대하여 이것 
은 애플리케이션의 크기나 그의 설계로 인해서 아주 문제시될수 
있습니다. 다른 호환되지 않는 애플리케이션들에 대해서는 봉사기 
와 의뢰기 가 통신하는 방법으로 변화되 여 야 합니 다. 다시 이 것은 
광대한 프로그람작성을 요구할수도 있습니다. 기정으로 Kerberos 지 
원을 가지지 않는 비공개원천애플리케이션들이 자주 가장 문제성 
있습니다. 

Kerberos 는 모든것 이 아니 면 애 당초 포기 하는 해 결 책 입 니 다. 만약 망 
에 서 Kerberos 를 리 용한다면 비 - Kerberos aware 봉사에 로 전 송되 는 암호 
화되 지 않은 통과단어 들은 위 험합니 다. 따라서 망은 Kerberos 의 사용 
으로부터 아무런 리익도 얻지 못합니다. Kerberos 를 가지고 망을 보안 


47 



하기 위해서 암호화되지 않은 통과단어들을 전송하는 모든 
client/server 애 플리 케 이 션들의 Kerberos-aware 판본들을 리 용하든가 그러 
한 임의의 의뢰기/봉사기애플리 케 이션들을 전혀 리용하지 말아야 합니 
다. 


2. Kerberos 용 어 

Kerberos 는 봉사의 여 러 가지 측면 들을 정 의 하기 위 해 자기 자체 의 용 
어들을 가지고있습니다. Kerberos 가 어 떻게 동작하는가를 배우기전에 
다음의 용어들을 배우는것이 중요합니다. 

• 인증봉사기 authentication server ( AS ) 

봉사에 대 한 접 근을 위해서 사용자들에게 차례 로 주어 지 는 요구한 
봉사에 대한 증서 ( ticket ) 들을 발급하는 봉사기. AS 는 증명서가 없거 
나 보내지 않은 의뢰기로부터의 요청 에 응답합니 다. 인증봉사기 는 보 
통 증서 허가증서 (比; ket-granting ticket ( TGT )) 를 발급함으로써 증서 허가 
봉사기 ( ticket-granting server ( TGS )) 봉사에 대 한 접 근을 얻 는데 리 용됩 니 
다. AS 는 보통 열쇠 배 포중심 (key distribu 比) n center ( KDC )) 과 같은 호스 
트상 에 서 실 행 합니 다. 

• 암문 ciphertext 
암호화된 자료. 

• 의 뢰 기 client 

Kerberos 로 부터 허가증을 접수할수 있는 망에서의 한 부분(여기에 
는 사용자, 호스트, 혹은 하나의 응용프로그람이 될수 있습니다.) 

• 신임장 credentials 

특정한 봉사를 위한 의뢰기의 식 별자를 검증하는 전자증서 입 니 다. 

• 신임장캐 쉬 또는 증서 화 일 credential cache or ticket file 
사용자와 여 러 가지 망봉사들사이 에 암호화통신을 위한 열쇠 들이 있 

는 화일을 말합니 다. Kerberos 5 는 공유된 기 억기와 같은 다른 캐쉬형 
태 사용을 위한 흐레 임 워 크를 지 원합니 다. 그러 나 화일들은 더 많이 지 
원됩 니 다. 

• 암호해 쉬 crypt hash 

사용자를 인 증하는데 사용되 는 한방향하쉬입 니 다. 이 것 들은 암호화되 
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지 않은 자료를 리용하는것보다 더 안전하지만 그것들은 아직 크래커 
에 의하여 복호화하기 쉽습니다. 

• principal (or principal name ) 

principal 은 Kerberos 를 리 용하여 인증이 허 용되 는 사용자나 봉사의 
유일한 이 름입 니 다. Principal 은 형 태 

root [/ instance] @ REALM 에 따릅니 다. 전형 적 인 사용자에 대하여 root 
는 그의 가입 ID 와 같습니다. Instance 는 선택적 입 니 다. 만약 principal 
이 instance 를 가진다면 그것은 root 와 (” /") 로 분리됩 니다. 빈 문자렬 
(””) 은 유효한 instance (기정 NULL instance 와 다른)로 여기지만 그것을 
리 용하면 혼동할수 있 습니 다. Realm 에 서 모든 principal 들은 자기 자신 
의 열쇠를 가지는데 이것은 사용자들에 대하여 통과단어로부터 얻어 
지거나 봉사들에 대하여 우연적으로 설정됩니다. 

• realm 

Kerberos 를 사용하는 망이 며 KDCs 라고 하는 하나이 상의 봉사기 들과 
잠재적 으로 많은수의 의뢰기들로 이 루어집 니 다. 

• 봉사 service 

망을 통하여 호출되는 프로그람. 

• 증서 ticket 

특별한 봉사를 위해 의뢰기의 신분을 조사하는 전자신 임 장들의 림시 
모임 . 신 임 장이라고도 합니 다. 

• 증서 허 가봉사기 ticket-granting server ( TGS ) 

봉사에 대 한 접 근을 위하여 사용자들에 게 차례 로 주는 요청봉사에 
대한 증서들을 발급하는 봉사기. TGS 는 보통 KDC 와 같은 호스트상에 
서 실 행합니 다. 

• 증서 허 가증서 ticket-granting ticket ( TGT ) 

추가적 인 증서 들을 KDC 로부터 신 청 하지 않고 의 뢰 기 가 그 증서 들을 
얻도록 하는 특별한 증서. 


3. Kerberos 는 어 떻 게 동작하는가 

Kerberos 는 사용자이름/통과단어 인증방법들과 다르다. 매 망봉사에 
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대하여 매 사용자률 인증하는 대신에 Kerberos 는 대칭 암호화와 신뢰 
하는 3 자 (KDC) 를 리용하여 망봉사묶음에 대 하여 사용자를 인증합니 
다. 사용자가 KDC 에 인증할때 KDC 는 사용자의 콤퓨터에로 그 쎄션 
에 특정 한 증서 를 되 돌려 보내 며 Kerberos-aware 봉사들은 통과단어 를 
리용하여 사용자를 인증할것을 요구하는것 이 아니 라 사용자의 콤퓨터 
상에서 증서 를 찾습니다. 

Kerberos-aware 망의 사용자가 자기의 워크스테 이션에 가입 할때 그 
의 principal 가 인 증봉사기 로부터 TGT 에 대 한 요청 부분으로서 KDC 에 
로 전송됩니다. 이 요청은 그것이 사용자에게 확인되도록 log-in 프로 
그람에 의해서 보내질수 있거 나 사용자가 가입한후에 kinit 프로그람에 
의해서 보내질수 있습니 다. 

그러면 KDC 는 자기의 자료기지에서 그 principal 을 검사합니다. 
Principal 이 발견되 면 KDC 는 TGT 를 작성 하는데 이 것은 사용자의 열 
쇠 를 리용하여 암호화되 며 그 사용자에 게 로 되 돌려집 니 다. 

그 다음 의뢰기 상의 Login 이 나 kinit 프로그람은 사용자의 열쇠를 리 
용하여 TGT 를 복호화하는데 이 열쇠는 사용자의 통과단어로부터 계 
산합니 다. 사용자의 열쇠는 오직 의뢰기상에서만 리용되며 망을 통하 
여 전송되지 않습니다. 

TGT 는 일정한 주기 의 시 간후에 만기 로 설정 되 며 (보통 10 내 지 24 시 
간) 의뢰기의 신임장캐쉬에 보관됩니다. 만기시간은 위태로운 TGT 가 
짧은 시 간주기동안에 만 공격 자에 게 리용되 도록 설정됩 니다. TGT 가 
발급된후에 사용자는 TGT 가 만기될때 까지 혹은 탈퇴하여 다시 가입할 
때 까지 자기 의 통과단어 를 재입 력 하지 않아도 됩 니다. 

사용자가 망봉사에 접 근을 요구할때마다 의뢰기 쏘프트웨어는 TGT 를 
리용하여 TGS 로부터 그 특정한 봉사에 대 한 새 로운 증서 를 요구합니 
다. 그러면 봉사증서는 그 봉사에 대하여 사용자를 정확하게 인증하는 
데 리용됩 니다. 

4. Kerberos 봉사기 구축 

Kerberos 를 설치 할때 우선 KDC 률 설치 해 야 합니 다. 만약 slave 봉사 
기 들을 설치할 필요가 있다면 master 를 우선 설치합니 다. 
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Kerberos KDC 의 설 치 단계 : 

Kerberos 를 구성 하기 전 에 모든 의 뢰 기 들과 봉사기 들에 서 시 간동기 화 
와 DNS 가 정확히 동작하는가를 확인합니다. Kerberos 봉사기와 그의 
의뢰기들사이 에 시 간동기화에 특별한 주목을 돌려야 합니 다. 만약 봉 
사기와 의뢰기사이의 시 간차가 5 분이상이 라면(이 것은 Kerberos 5 에서 
는 구성 가능하다) Kerberos 의뢰 기는 봉사기 에 인증할수 없습니 다. 이 
시 간동기 화는 공격 자가 낡은 Kerberos 증서 를 리 용하여 유효한 사용자 
로 가장하는것 을 방지 하기 위해 필 요합니 다. 

지 어 Kerberos 를 리 용하지 않는다해 도 Network Time Protocol (NTP) 호 
환의 의 뢰기/봉사기 망을 설정할것 을 권고할수 있습니 다. 《붉은별》봉 
사기용체계 3.0 판에는 이 목적을 위 한 ntp 패키 지 가 있습니 다. 

2. Krb5-libs, krb5-server, krb5- workstation 패 키 지 들을 KDC 를 실 행 하는 
전용를류터 에 설치합니 다. 이 콤퓨터 는 매 우 안전해 야 할 필 요가 있다 
一 가능하다면 KDC 외 에는 다른 봉사를 실행시키 지 말아야 합니 다. 

3. realm 이름과 령역 -realm 넘기기를 반영하는 /etc/krb5.conf 와 
/var/kerberos/krb5kdc/kdc.conf 구성 화일들을 편집 합니 다. 간단한 realm 은 
EXAMPLE.COM 과 example.com 의 실 체 들을 정 확한 령 역 이 름으로 교 
체하고 一 대문자이름과 소문자이름들을 정확한 형태로 유지하면서 
一 KDC 를 kerberos.example.com 으로부터 Kerberos 봉사기 의 이 름으로 
변화시 켜 구성 할수 있습니 다. 규약에 따라 모든 realm 이 름들은 대 문 
자이며 모든 DNS 호스트이름들과 령 역이름들은 소문자입 니다. 

4. 쉘 프롬프트로 부터 kdb5_util 를 리용하여 자료 기 지 를 창조하여 야 합 
니 다: 

/usr/kerberos/sbin/kdb5_util create -s 


create 지령은 Kerberos realm 에 대한 열쇠들을 보관하는 자료기지를 
창조합니 다. -s 스위 치는 주봉사기 열쇠 가 보관되 는 stash 화일의 작성 을 
지 적합니 다. 만약 열쇠 를 읽 을 stash 화일 이 존재하지 않는다면 
Kerberos 봉사기 (krb5kdc) 는 매 번 기 동할때마다 (열쇠를 재 생성하는데 
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리 용될수 있는)주봉사기 통과단어 를 사용자에 게 재 촉합니 다. 

/ var / kerberos / krb 5 kdc / kadm 5 .acl 화일을 편집합니 다. 이 화일은 Kerberos 
자료기 지 에 대 한 관리 접 근을 어 느 prin (다) al 들이 가지 는가와 그의 접 근 
준위 를 결 정 하기 위 해 kadmind 가 리 용합니 다. 대 부분의 구성 은 단일 
행 으로 얻어 질 수 있 다: 

*/ admin @ EXAMPLE.COM * 

대부분의 사용자들은 단일 principal ( zo @ EXAMPLE.COM 와 같이 
NULL 이 나 빈 instance 를 자진 )로 자료기 지 에 표시 됩 니 다. 이 구성 에 
서 admin 의 인스턴스가 있는 두번째 principal 을 가진 사용자들(실례 
로 joe / admin @ EXAMPLE . COM ) 은 그 realm 의 Kerberos 자료기 지 에 대 
한 완전한 능력을 장악할수 있습니다. 

kadmind 가 봉사기에서 기동한후에 임의의 사용자는 realm 의 임의의 
의뢰 기들이 나 봉사기상에서 kadmin 을 실행함으로써 봉사들에 접 근할 
수 있습니 다. 그러 나 kadm 5 .acl 화일에 지 정된 사용자들만이 자기의 
통과단어들을 변화시키는것을 제외하고 임의의 방법 으로 자료기 지를 
변경시킬수 있습니다. 

kadmin 유릴리리는 망을 통하여 kadmind 봉사기와 통신하며 인증을 
관리 하기 위해 Kerberos 를 리용합니 다. 결과적 으로 망을 통하여 봉사 
기 와 접 속하여 봉사기 를 관리 하기 전 에 첫 principal 이 이 미 존재 해 야 
합니다. kadmin . local 지령으로 첫 principal 을 작성 하는데 이것은 특별 
히 KDC 와 같은 호스트상에 서 리용되 도록 설계 되 며 인증에 Kerberos 
를 리용하지 않습니 다. 

첫 principal 을 작성 하려면 KDC 터미널에서 다음의 kadmin . local 지령 
을 입 력한다: 

/ usr / kerberos / sbin / kadmin.local -q ’’addprinc usemame / admin ’’ 

5. 다음의 지 령 들을 리 용하여 Kerberos 를 시 작한다: 

/ sbin/service krb 5 kdc start 

/ sbin/service kadmin start 

/ sbin/service krb 524 start 

6. kadmin 내의 addprinc 지령을 리 용하여 사용자들에 대한 principal 들 
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을 주가합니 다. kadmin 과 kadmialocal 은 KDC 에 대한 지 령행결합부 
입 니 다. kadmin 프로그람을 시 작한후에 addprinc 와 같은 많은 지 령 들을 
리용할수 있습니 다. 

7. KDC 가 증서들을 발급하는가를 조사합니다. 우선 kinit 를 실행하 
여 증서 를 얻 어 그것 을 신 임 장캐쉬 에 보관합니 다. 다음으로 klist 를 리 
용하여 캐쉬내의 신 임 장목록을 보고 kdestroy 를 리용하여 캐쉬 와 그 
안에 있는 신 임 장들을 파괴합니 다. 

주의 

기정으로서 kinit 는 같은 체계의 login 사용자이름 (Kerberos 봉사기가 
아니 라)을 리 용하여 인증을 시 도합니 다. 만약 그 사용자이 름이 
Kerberos 자료기 지 의 principal 에 대 응되 지 않는다면 kinit 는 오유통보문 
을 내보낸다. 그렇게 된다면 지령행인수로서 정확한 principal 이름을 
주어 kinit 를 실행 시 켜 야 합니 다 (kinit < principal >). 

일단 이 단계들이 완성된다면 Kerberos 봉사기는 실행되고있는것 입 니 
다. 


5. Kerberos 5 의 뢰 기 구죽 

의뢰기의 설정은 봉사기설정보다 적은 공정을 포함합니다. 의뢰기 패 
키쥐를 설치하고 krb 5 .conf 구성 화일을 설정 하여야 합니다. ssh 와 s login 
이 의뢰기 체계 에서 원격으로 가입하는 방법 이 라면 kerberized 된 rsh 와 
rlogin 은 몇 가지 구성 에서 의 변화를 요구합니 다. 

1. Kerberos 의뢰기와 KDC 사이의 시 간동기 화에 주의하여 야 합니 다. 
추가적 으로 Kerberos 의뢰 기를 구성하기 전에 의뢰 기 에서 DNS 가 정확 
히 동작하는가를 확인하여야 합니다. 

2. Krb 5 -libs 와 krb 5 -workstation 패 키 쥐를 모든 의뢰 기 콤퓨터들에 설 
치하여 야 합니다. 다음 / etc / krb 5 .conf 화일을 설정하여 야 합니다. (보통 
이 것은 KDC 의 krb 5 .conf 화일과 같습니다.) 

3. Ssh 나 Kerberized 된 rsh , rlogin 을 리 용하여 련 결하는 사용자들을 
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인증하기 위하여 령역 에서 Kerberos 를 리용하는데 그 전에 Kerberos 
자료기지에서 자기의 호스트 주실체를 가지고있어야 합니다. Sshd , 
kshd , klogind 봉사기 프로그람들은 모두 호스트 봉사의 주실 체 를 위 한 
열 쇠 들을 리 용한 접 근이 필 요합니 다. 추가적 으로 rsh , rlogin 봉사를 리 
용하기 위 하여 서 는 xinetd 패 키 쥐 를 설 치 하여 야 합니 다. 

Kadmin 을 리 용하여 KDC 에 서 workstation 을 위 한 호스트 주실 체 를 
추가하여야 합니다. 이 경우 workstation 의 호스트이름입니다. 다음 - 
randkey 항목을 리 용하여 kadmin 의 addprinc 지 령 을 실 행 함으로서 임 의 
의 열쇠 를 가진 주실체를 생성할수 있습니 다. 
addprinc -randkey ho st / blah , examp le.com 

다음 주실체 가 생성 되 면 ktadd 지 령 을 리 용하여 열쇠 를 등록합니 다. 
ktadd -k / etc / kxb 5 .keytab host 7 blah . example.com 


제 7 절. 가상사설망 

실례로 많은 기 업 체들은 비동기 전송방식을 리용하고있습니 다. 이것은 
서로 끝과 끝을 이은 망구조입니다. 이렇게 하면 가격이 매우 높아지 
게 되며 특히 중소규모 기업들에는 큰 문제로 됩니다. 

이 려 한 문제 률 해 결하기 위하여 VPN 이 개 발되 였습니 다 .VPN 은 두부 
분사이의 보안된 수자통신을 진행하도록 하며 국부대역망으로부터 광 
대 역망을 생 성합니 다. 

-VPN 은 어떻게 동작하는가? 

파케트가 의뢰기로부터 전송되면 경로와 인증을 위한 인증머리부를 
추가한 VPN 경 로기 나 관문을 통하여 전송됩 니다. 자료는 암호화된 다 
음 Encapsulating Security Payload ( ESP ) 에 포함됩 니 다. 

접 수한 VPN 경 로기 는 머 리부정보를 자른다음 그 자료를 복호화하고 
목적 지 에 그것 을 전송합니 다. 망과 망사이의 련결을 사용할때 국부망 
에서 접수한 마디는 이미 복호화된 파케트를 접수하며 처 리를 준비합 
니 다. 

보안의 준위가 높으면 공격자는 파케트를 가로챈다고 하여도 그것을 
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복호화할수는 없습니다. 


제 8 절 방화벽 

방화벽들은 망보안실현 물의 핵심적인 부분품들중의 하나입니다. 방화 
벽 들은 Cisco 와 Nokia , Sonicwall 이 제 공하는 방화벽 기 구들과 같이 단 
독가동방식 의 하드웨 어해 결책 으로 될수 있습니 다. Checkpoint 와 
McAfee , Symantec 와 같은 쏘프트웨 어 방화벽 해 결 책 들을 개 발하였습니 
다. 

하드웨어와 쏘프트웨어방화벽들사이에 차이점이 있는것외에도 하나 
의 해 결책과 다른 해 결책을 분리 하는 방화벽기 능에서 도 차이 점 이 존 
재합니다. 표.《방화벽형 태》에 서 는 3 가저 의 일 반적인 형태 의 방화벽 들 
과 그 기능들에 대하여 상세하게 보여줄니다. 


표. 방화벽형 태 


방법 

설명 

우점 

결함 

NAT 

망주소변환은 공 
개 IP 주소들중 하 
나 혹은 작은 구 
역안에 있는 사설 
IP 부분망들에 놓 
이며 여러 개의 원 
천 이 아니니 라_ '하나_ 

의 원천에 대한 
모든 요청들을 조 
작 ( masquerade ) 합 
니 다. Linux 핵 심 부 
는 망려과핵심부 
부분체계를 통하 

여 내부적으로 구 
축된 NAT 기능을 
포함하고있 습니 다. 

* LAN 상의 를 

퓨터들에 개방 
적으로 설정될 
수 있습니다. 

* 하나이상의 
외부 IP 주소들 
뒤에 있는 많은 

콤퓨터들과 봉 
사들의 보호는 

관리업무를 간 

단하게 합니다. 

* LAN 에 대 한 
사용자접 근의 
제한은 NAT 방 
화벽 및 관문에 
서 포구를 열기, 

* 방화벽밖에 
있는 봉사에 접 
속하면 악성 활 
동을 막을수 없 

습니 다. 
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닫기 함으로써 
설정될수 있습 
니 다. 

파케 트려 과기 파케 트려 과기 능 * iptables * 대 리 봉사기 

능 을 가진 방화벽은 front-end 프로그 방화벽들과 같 

LAN 을 통하여 통 람을 통하여 개 은 내용에 대한 
신하는 매 자료파 작할수 있습니 파케트들을 려 
케트들을 읽습니 다. 과할수 없습니 

다. 그것은 머 리부 * 의뢰기측에 다. 

정 보에 의하여 파 대 한 개 작은 필 * 규약층에 있 
케트들을 읽고 처 요로 하지 않습 는 파케트들을 
리할수 있으며 방 니다. 왜 냐면 모 처 리하지 만 응 
화벽관리 자에 의 든 망활동이 응 용프로그람층에 
하여 실현된 프로 용프로그람준위 있는 파케트들 
그람작성가능한 가 아니라 경로 은 려과할수 없 
규칙모임 에 기 초 기 준위 에 서 려 습니 다. 

하여 파케 트들을 과되 기때 문 입 니 * 복잡한 망구 

려 과합니 다. Linux 다. 성방식 은 파케 

핵 심 부는 망려과 * 파케 트들이 트러 과규칙확립 
핵심부부분체계를 대리봉사기를 을 어렵게 할수 
통하여 내 부적으 통하여 전 송되 있습니 다. 특히 
로 구축되 여있는 지 않기때 문에 IP 꾸밈 이 나 국 
파케 트러 과기 능을 망성 능이 의 뢰 부적인 부분망 
포함하고있습니 다. 기 와 원격호스 과 DMZ 망이 결 

트사이 직접접 합되는 경우 어 
속으로 인하여 렵 게 됩 니다. 

보다 더 향상됩 

_ _H4. _ 

대 리봉사기 대 리봉사기 방화 * 관리 자들에 * 대 리봉사기 

벽들은 LAN 의뢰 게 LAN 밖에서 들은 응용프로 
기 에서 대 리봉사 동작하는 응용 그람 ( HTTP , 
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기콤퓨터에로 가 프로그람들과 Telnet 등)에 따 

는 어떤 규약이나 규약들에 대한 라 다르거나 규 
형태들의 모든 요 조종권한을 줍 약제한(대부분의 
청 들을 려 과하며 니다. 대 리 봉사기 들은 

그 다음 국부적 인 * 일 부대 리봉 TCP 접 속봉사만 
의뢰기를 대신하 사기봉사기들은 으로 동작한다) 
여 인터네 트에 대 인터네 트봉사를 을 받습니 다. 

한 요청 들을 작성 리용하는것 이 * 응용프로그 
합니 다. 대 리봉사 아니 라 자주 접 람봉사들은 대 
기 를류터 는 악의 근된 자료들을 리봉사기뒤 에서 
있 는 원 격사용자 국부적 으로 캐 실 행할수 없 으 
들과 내 부망의 뢰 쉬할수 있습니 며 따라서 응용 
기콤퓨터들사이의 다. 이것은 대역 프로그람봉사기 
완충기로서 동작 ( bandwidth ) 의 소 들은 분리되여 
합니다. 모를 줄일수 있 있는 망보안형 

습니 다. 태 를 리용해 야 

* 대리봉사기 합니다. 

봉사들은 엄밀 * 대리봉사기 
하게 기록되고 들은 좁은 망통 
감시 되 며 망상 로 (network 
에 있는 자원리 bottleneck ) 로 될 
용에 대한 조종 수 있습니다. 그 
을 강화하게 합 것은 모든 요청 
니다. 들과 전송이 의 

퇴기에서 원격 
봉사에로의 직 

접적 인 것이 아 
니 라 하나의 원 
천을 통하여 처 
리되기때문입니 
다. 
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l.Netfilter 과 IPTables 


Linux 핵 심 부는 Netfilter 라는 강력한 망관리 부분체 계 를 포함하고있습 
니 다. 망려과부분체 계 는 NAT 와 IP 꾸밈봉사들뿐 아니 라 모든 (stateful 
and stateless) 파케 트려 과기 능을 제공합니 다. 망려 과기는 또한 고급한 경 
로기 능과 접 속상태 관리 를 위한 IP 머 리 부정보를 조작 (mangle) 할수 있는 
능력 도 가지 고있습니 다. 망려 과기 는 iptables 도구를 리 용하여 조종됩 니 
다. 

망려 과기 의 능력 과 유연성 (flexibility) 은 iptables 관리 도구를 리용하여 
실현됩 니 다. Linux 핵심 부 2.4 이 전판본에서 는 iptables 와 류사한 도구인 
ipchains 를 리 용하 였 습니 다. 

Iptables 는 망접 속과 망점 검 , 망처 리 를 강화하기 위하여 망려과부분체 
계 를 리용하고있습니 다. Iptables 는 고급한 로그관리，전 경 로조종 
(pre-routing) 과 후경로조종 (post-routing), 망주소변환， 포구회송 

(forwarding), 하나의 지 령 행대 면부안에서 의 모든 동작들로 특징 지 어 집 
니 다. 

이 절 에 서 는 iptables 의 개 념 을 제 공합니 다. 


2. 기초방화벽설정 


건물안의 불막이벽 (firewall) 이 불이 퍼지지 않도록 하는것과 마찬가 
지 로 를류터방화벽 은 악성 쏘프트웨어 가 를류터 에 전 파되 지 않도록 합 
니다. 그것 은 또한 허 가되 지 않은 사용자들이 콤퓨터 에 접 근하지 못하 
도록 합니다. 

《붉은별》봉사기용체계기정설치 에서 방화벽은 사용자의 콤퓨터 나 망 
과 어 떤 신뢰되 지 않는 망들, 실례로 인터네트사이 에 존재합니 다. 그 
것은 원격사용자들이 콤퓨터상의 어느 봉사들에 접근할수 있는가를 
결정합니 다. 정 확하게 설정 된 방화벽 은 체계 보안을 상당히 개선할수 
있습니 다. 사용자는 인터네트에 접 속하고있는 임의의 《붉은별》봉사기 
용체 계 3.0 판체 계 에 대 하여 방화벽 을 설 정 하여 야 합니 다. 
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1) 방화벽의 사용가능 및 사용불가능설정 

방화벽 에 대하여 다음과 같은 선택항목들중 하나률 선택합니다. 

• Disabled (사용불가능) - 방화벽사용불가능은 사용자의 체계 
에 완전히 접근하도록 하며 보안검사를 진행하지 않습니다. 이것 
은 사용자가 신뢰되는(인터네트가 아닌) 망상에서 체계를 실행하 
고있는 경우에만 설정되 여 야 하며 혹은 iptables 지 령행도구를 리용 
하여 전 용방화벽 을 설 정 하는데 필 요하게 됩 니다. 

경고 : 방화벽설정과 임의의 전용화된 방화벽규칙들은 
/6(£/85^011典은/1^15노8 화일 에 보관됩 니 다. 만일 사용자가 Disabled 를 
선택하고 0 K 를 누르면 이 설정과 방화벽규칙들이 삭제되게 됩니 
다. 


• Enabled (사용가능) - 이 항목은 체계가 DNS 응답이나 DHCP 
요청 과 같이 외 부로 나가는 요청 들에 응답하지 않는 들어오는 접 
속들을 거 부하도록 설 정합니 다. 만일 이 콤퓨터 에 서 실 행 하고있는 
봉사들에 대한 접근이 필요한 경우 사용자는 방화벽을 통하여 특 
정의 봉사들을 선택하여 허가할수 있습니다. 

만일 사용자가 체계를 인터네트에 접 속하려고 하지만 봉사기를 
실행하려고 계획하고있지 않는 경우 이것은 가장 안전한 선택으로 
됩 니 다. 

2) 신 뢰하는 봉사들 

Trusted Services 목록안의 선택항목들을 사용할수 있게 설정하면 특정의 
봉사들이 방화벽을 통과하도록 허가합니다. 


WWW ( HTTP ) 

HTTP 규약은 Apache (기 타 웨브봉사기)에 의하여 웨브페지 들을 봉사 
하는데 리용됩 니다. 만일 사용자가 웨 브봉사기 를 공개 적 으로 사용할 
수 있도록 설정하려 고 계획하고있다면 이 검사칸 (check box ) 을 설정 
하여야 합니다. 이 항목은 웨브페지를 개발하거나 국부적으로 페지 
들을 조사하는데서는 요구되지 않습니다. 이 봉사는 httpd 패키지가 
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설치될것을 요구합니다. 

WWW(HTTP) 을 사용할수 있도록 설 정 한다고 해 도 HTTPS, HTTP 의 
SSL 판본에 대한 포구는 열리지 않습니다. 만일 이 봉사기 필요하게 
되는 경우 Secure WWW(HTTPS) 검사칸을 선택하여 야 합니다. 

FTP 

FTP 규약은 망상의 콤류터 들사이 에 화일들을 전송하는데 리용됩 니 
다. 만일 사용자가 FTP 봉사기를 공개적으로 사용할수 있도록 설정 
하려고 계획하고있다면 이 검사칸을 선택하여야 합니다. 이 봉사는 
vsftpd 패키 지가 설치되 여있을것을 요구합니 다. 

SSH 

보안쉘 (Secure Shell) 은 원격콤퓨터에 가입하여 지령을 실행하기 위 
한 지 령 묶음입 니 다. ssh 를 통하여 콤퓨터 에 대 한 원격접 근을 허 가하 
려면 이 검사칸을 선택하여 야 합니다. 이 봉사는 openssh-server 패키 
지가 설치되여있을것을 요구합니다. 

Telnet 

Telnet 는 원격 콤퓨터 에 가입 하기 위한 규약입 니 다. Telnet 통신들은 
암호화되지 않으며 망조사에 대하여 그 어떤 보안도 제공하지 않습 
니 다. 내 부로 들어 오는 Telnet 접 근에 대 한 허 가는 권고하지 않습니 다. 
telnet 를 통한 콤퓨터 의 원격접 근을 허 가하려 면 이 검 사칸을 선택하 
여 야 합니 다. 이 봉사는 telnet-server 패 키 지 가 설 치 되 여 있 을것 을 요구 
합니 다. 

Mail(SMTP) 

SMTP 는 원격콤류터 가 사용자의 콤퓨터 에 우편을 발송하기 위하여 
직접 접근하도록 하는 규약입 니 다. 만일 사용자가 ISP 의 봉사기로부 
터 POP3 이 나 IMAP 를 리용하여 우편을 수집 하거 나 fetchmail 과 같은 
도구를 리용한다면 이 봉사를 사용하지 말아야 합니 다. 사용자의 콤 
퓨터에 우편발송을 허가하려면 이 검사칸을 선택하여야 합니다. 부 
정 확하제 설정 된 SMTP 봉사기 는 원격콤퓨터 가 spam 을 전송하기 위 
하여 봉사기 를 리 용하도록 허 가할수 있다는것 을 주의 해 야 합니 다. 

NFS4 

망화일 체 계 (NFS) 는 *NIX 체 계 들에 서 공통적 으로 리용되 는 화일 공유 
규약입 니 다. 이 규약의 판본 4 는 이 전 판본들에 비해 볼 때 보다 더 
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안전합니다. 만일 사용자가 다른 망사용자들과 자기의 체계에서 화 
일이나 등록부들을 공유하려고 한다면 이 검사칸을 선택하여야 합니 
다. 

Samba 

Samba 는 Microsoft 의 독점적 인 SMB 망관리규약의 실현물입 니다. 만 
일 사용자가 Microsoft Windows 콤퓨터들을 가지 고 화일이 나 등록부 
들, 국부적으로 련결된 인쇄기들을 공유하여야 한다면 이 검사칸을 
선택하여야 합니다. 

3) 기 타포구들 

방화벽설정도구는 전용 IP 포구들을 ip tables 에 의해 신뢰되는것으로 정 
의 하기 위한 Other ports 부분을 포함하고있습니 다. 실례 로 IRC 와 인터네 
트인쇄 관리 규약 ( IPP-Internet printing protocol ) 이 방화벽 을 통과하도록 하려 
면 다음의 행 을 Other Ports 부분에 추가해 야 합니 다. 

4) 설 정보관 

0 K 를 늘러 변경된 내용들을 보관하고 방화벽을 사용가능 혹은 사용 
불가능으로 설정합니 다. 만일 Enable firewall 이 선택되 였다면 선택된 
항목들은 iptables 지 령 들에 옮겨 지 며 / etc / sysconfig/iptables 화일 에 작성 됩 
니다. Iptables 봉사는 또한 방화벽 이 설정 된 선택 항목들을 보관한 다음 
즉시 능동으로 되도록 기동되 여 있습니다. 만일 Disable firewall 이 선택 
되였다면 / etc/s ysconfig/ip tables 화일이 삭제되며 iptables 봉사는 즉시 정 
지됩니 다. 

또한 선택된 항목들은 설정들이 응용프로그람이 다음번에 기동될 때 
회복될수 있도록 하기 위하여 / etc / sysconfig / system-con 社 g-securitylevel 화 
일 에 기 록됩 니 다. 이 화일을 수동적 으로 편집 하지 는 말아야 합니 다. 
방화벽 이 즉시 능동으로 된다고 해도 iptables 봉사는 기동시 에 자동적 
으로 기 동하도록 설 정 되 여 있 지 않습니 다. 


5) IPTables 봉사활성 화 


방화벽규칙들은 오직 iptables 봉사가 실행되고있는 경우에만 능동으로 
됩 니 다. 봉사를 수동적 으로 기 동하려 면 다음의 지 령을 리 용하여 야 합 
니 다. 
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[ root @ myServer 시 # service iptables restart 

체계가 기동될 때 iptables 가 기동하도록 하려면 다음의 지령을 리용 
하여 야 합니 다. 

[ root@myServer -]#chkconfig -level 345 ^tables on 


3. IPTables 리 용방법 

Iptables 리용에 서 첫 단계 는 iptables 봉사를 기 동하는것 입 니 다. 다음의 
지 령 을 리 용하여 iptables 봉사를 기 동합니 다. 

[ root @ myServer~]#service iptables start 


주의 : ip 6 tables 봉사는 만일 사용자가 iptables 봉사만을 리 용하려 고 계 
획하고있는 경우는 중지될수 있습니다. 만일 사용자가 ip 6 tables 봉사를 
비 활성 화시 킨다면 IPv 6 망도 비 활성 화시켜 야 한다는것 을 잊 지 말아야 
합니다. 정합하는 방화벽이 없는 망장치는 능동으로 설정하지 말아야 
합니 다. 

Iptables 를 체계 기동시에 기정으로 기동하도록 하려면 다음의 지령을 
리용하여 야 합니 다. 

[ root @ myServer-]#c hkconfig -level 345 iptables on 
이 것 은 iptables 가 체 계 가 실 행 준위 3 이 나 4, 5 로 기 동될 때 마다 기 동 
하도록 합니 다. 

1) IPTables 지 령 문맥 

다음의 iptables 지 령 실 례 는 기 초적 인 지 령 문법 을 보여 주고있습니 다. 
[ root @ myServe 卜 ]# iptables - A 〈 chain 〉- j 〈 target 〉 

-A 선택 항목은 규칙 이 < chain > (사슬)에 추가된다는것을 정 의합니 다. 
매 사슬은 하나이상의 규칙 들로 구성 되 며 따라서 규칙모임 이 라고도 
합니 다. 

내 부적 으로 구축된 3 개 의 사슬들은 INPUT 와 OUTPUT , FORWARD 입 
니다. 이 사슬들은 영 구적 이 며 삭제 될수 없습니 다. 사슬은 파케 트가 
조종되는 지 점을 정 의합니 다. 
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-j <target> 선 택 항목은 규칙 의 목표 (target) 를 정 의 합니 다. 즉 만일 파케 
트가 규칙 과 일 치하면 무엇 을 해 야하는가를 정 의합니 다. 내 부적 으로 
구축된 목표들은 ACCEPT 와 DROP, REJECT 입 니 다. 

리 용가능한 사슬들과 선 택 항목들, 목표들에 대 한 보다 더 상세 한 정 
보는 iptables 도움말을 참고하여 알수 있습니다. 


2) 기초방화벽방책 

기 초적 인 방화벽방책 의 확립 은 보다 더 상세 하고 사용자정 의 의 규칙 
들을 구죽하기 위 한 기 초를 창조합니 다. 

매 iptables 사슬은 기 정방책과 방화벽 의 전반적 인 규칙모임을 정의하 
기 위 하여 기 정방책 과 협 력하여 동작하는 하나이 상의 규칙 들로 구성 
되 여 있습니 다. 

사슬에 대 한 기 정방책 은 DROP 나 ACCEPT 일수 있습니 다. 보안에 관 
심 을 가지 는 관리 자들은 일 반적 으로 DROP 의 기 정방책 을 실 현 하며 경 
우에 따라 특정의 파케트들만을 허가합니다. 실례로 다음의 방책들은 
망관문에 서 들어오고 나가는 파케 트들을 모두 차단합니 다. 

[root@myServe 卜 ]# iptables -P INPUT DROP 

[root@myServe 卜 ]# iptables -P OUTPUT DROP 

임의의 회송된 파케트들, 즉 방화벽으로부터 그의 목적마디까지 경로 
조종되는 망통화량이 거부되여야 하며 내부의뢰기들이 부주의로 인하 
여 Internet 에로 로출되지 않도록 제한합니다. 이것을 다음의 규칙을 
리용하여 진 행합니 다. 

[root@myServer 시 # iptables -P FORWARD DROP 

사용자가 매 사슬에 대하여 기정방책을 설정하였을 때 사용자는 특 
수한 망과 보안요구조건들에 대한 규칙들을 창조하고 보관할수 있습 
니 다. 

다음절들에 서 는 iptables 규칙 보관방법 과 iptables 방화벽 을 구축하는 과 
정 에 실현할수 있는 일부 규칙 들에 대하여 설명합니 다. 

3) IPTables 규칙 보관과 회 복 

Iptables 에 대한 변경은 일시적입 니다. 만일 체계가 재기동하거 나 
iptables 봉사가 재 기 동한다면 규칙 들은 자동적 으로 flush 되 고 재설정 됩 
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니 다. Iptables 봉사가 기 동될 때 규칙 들이 자동적 으로 설정 되 도록 하려 
면 다음의 지 령을 리용하여 야 합니 다. 

[root @ myServer~]#service iptables save 

규칙 들은 / etc / sysconfig/iptables 화일 에 보관되 며 봉사가 기 동되 거 나 콤 
퓨터 가 재 기동될 때 마다 적 용됩 니 다. 

4. 일 반적 인 IPTables 려 과기 능 

원격공격 자들이 LAN 에 접 근하지 못하도록 하는것 은 망보안에 서 가 
장 중요한 문제들중의 하나입니다. LAN 의 완전성은 엄격한 방화벽규 
칙들을 리용하여 악의있는 원격사용자들로부터 보호되 여 야 합니 다. 

그러 나 들어오고 나가며 회 송되 는 파케 트들을 모두 차단하도록 설정 
한 기 정방책 을 가지 고는 방화벽 및 관문과 내 부 LAN 사용자들이 서 로 
혹은 외부자원들과 통신하도록 하는것은 불가능합니다. 

사용자들이 망관련기능들을 집행하도록 하며 망관리응용프로그람들 
을 리용하도록 하기 위하여 관리자들은 통신을 위한 포구들을 열어놓 
아야 합니다. 

실례로 방화벽 에서 80포구에 대 한 접 근을 허 가하려 면 다음의 규칙을 
추가해야 합니다. 

[ root @ myServer 〜] #iptables -A INPUT -p tcp -m tcp -dport 80 -j ACC 
EPT 

이 것은 사용자들이 표준포구 80 을 리용하여 통신하는 웨 브싸이트들 
을 열람하도록 허가합니다. 안전한 웨브싸이트들(실례로 

https :/ 八 vww . example . com /) 에 접근하도록 허가하려면 다음과 같이 포구 
443 에 대 한 접 근을 제 공하여 야 합니 다. 

[ root @ myServer - ]#iptables -A INPUT 一 p tcp -m tcp -dport 443 -j AC 
CEPT 


중요: 

Iptables 규칙모임 을 창조할 때 그 순서 가 중요합니 다. 

만일 어떤 규칙 이 192.168.100.0/24 부분망으로부터 들어오는 임의의 
파케트들을 차단 ( drop ) 한다는것을 정의하고 이것이 192.168.100.13( 삭제 
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되는 부분망안에 있음)으로부터 들어오는 파케트들을 허가하는 규칙다 
음에 놓인다면 두번째 규칙은 무시됩니다. 

192.168.100.13 으로부터 들어오는 파케 트들을 허 가하는 규칙 은 부문 
망의 나머지 주소들을 차단하는 규칙들이 앞에 놓여 야 합니다. 

현존사슬안의 특정의 위치에 어떤 규칙을 삽입하려면 -I 선택항목을 
리용하여 야 합니 다. 실례 로 

[ root @ myServer-]#iptab les -I INPUT 1 -i to -p all -j ACCEPT 

이 규칙은 국부 loopback 장치통화를 허가하기 위하여 INPUT 사슬안 
에 첫번째 규칙 으로서 삽입 됩 니다. 

사용자가 LAN 에로의 원격접근을 요구는 여러번 있을수 있습니다. 
안전한 봉사들, 실례 로 SSH 는 LAN 봉사들에 대 한 암호화된 원격 접 속 
에 리용될 수 있습니 다. 

PPP 기 초의 자원들(모뎀 이 나 ISP 계 정 들과 같은), dial-up 접 근을 가지 고 
있는 관리 자들은 방화벽장벽 들을 안전하게 우회 하는데 리용될수 있습 
니다. 그것들은 직접적인 접속이기때문에 모뎀접속들은 일반적으로 방 
화벽 및 관문뒤에 놓입니다. 

그러 나 광대역 접 속을 가전 원격 사용자들에 대하여 서 는 특별한 경 우 
가 있을수 있습니 다. 사용자는 iptables 를 설정하여 원격 SSH 의뢰기들 
로부터 접속들을 접수하도록 할수 있습니다. 실례로 다음의 규칙들은 
원격 SSH 접 근을 허 가합니 다. 

[root @ myServer-]#iptab les -A INPUT -p tcp -dport 22 -j ACCEPT 

[root @ myServer - ]# iptab les -A OUTPUT -p tcp -sport 22 -j ACCEPT 

이 규칙 들은 인터네 트나 방화벽 및 관문에 직 접 접 속된 단일 PC 와 
같이 개별적인 체계에 대하여 들어오고 나가는 접근을 허가합니다. 그 
러나 그것들은 방화벽 및 관문뒤에 있는 마디들이 이 봉사들에 접근 
하는것을 허가하지는 않습니다. 이 봉사들에 대한 LAN 접근을 허가하 
기 위하여 사용자는 iptables 려과규칙들을 가지고 망주소변환 ( NAI ) 을 
리용할수 있습니 다. 


65 



5. FORWARD 와 NAT 규칙들 


대부분의 ISP 들은 공개적으로 경로조종가능한 제한된 IP 주소들만을 
그것들이 봉사하는 조직들에 제공합니다. 

따라서 관리 자는 LAN 상의 모든 마디 에 공개 IP 주소률 제 공하지 않 
고 인터네 트봉사들에 대 한 접 근을 공유하기 위 한 또 다른 방법 들을 
발견하여 야 합니 다. 사설 IP 주소들의 리용은 LAN 상의 모든 마디 들이 
내부와 외부망봉사들에 정확히 접근하도록 허가하는 가장 일반적인 
방법 입 니 다. 

방화벽 들과 같은 경 로기 들은 인터네 트로부터 들어오는 전 송자료들을 
받을수 있으며 그 파케트들을 계획된 LAN 마디들에 경로조종할수 있 
습니 다. 동시 에 방화벽 및 관문들은 또한 LAN 마디 로부터 원격인터네 
트봉사들에로 나가는 요청들도 경로조종할수 있습니다. 

이 망통화회 송은 때때로 위 험하게 될수 있으며 특히 는 고급한 크랙 
킹 도구들을 리용하면 내 부 IP 주소들을 위 장할수 있고 원 격공격 자의 
콤류터 를 사용자의 LAN 상의 마디 로써 동작하도록 할수 있습니 다. 

이것을 막기 위하여 iptables 는 망자원들에 대한 비정상적인 사용을 
막도록 구현될수 있는 경로조종과 회송방책들을 제공합니다. 

FORWARD 사슬은 파케트들이 LAN 안에 경로조종될수 있도록 관리 
자들의 조종을 허가합니다. 전체적인 LAN 에 대한 회송을 허가하려면 
(방화벽 및 관문이 ethl 에서 내부 IP 주소를 할당받는다고 가정) 다음 
의 규칙 들을 리용해 야 합니 다. 

[ root @ myServe 卜 ]# iptables -A FORWARD -i ethl -j ACCEPT 

[ root @ myServer-]#iptables -A FORWARD -o ethl -j ACCEPT 

이 규칙은 방화벽 및 관문뒤에 있는 체계들에 내부망에 대한 접근을 
제공합니다. 관문은 파케트들이 LAN 마디에서 자기의 예정된 목적마 
디로 가도록 경로를 조종하며 자기의 ethl 장치를 통하여 모든 파케트 
들을 통과합니다. 

주의: 

기 정 으로〈〈붉은별》봉사기 용체 계 3.0 판핵 심 부들안에 있는 IPv 4 방책 
은 IP 회송에 대한 지원을 사용할수 없습니다. 이것은 봉사기용체계 
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가 가동하는 콤퓨터들이 경로기로서 동작하지 못하도록 합니다. IP 회 
송을 사용할수 있게 하려 면 다음의 지 령을 리용하여 야 합니 다. 

[ root @ myServer~]#sysctl -w net . ipv 4. ip _ forward = 1 
이 설정변경은 현재 쎄션에 대하여서만 유효합니다. 그것은 재기동 
이 나 망봉사재 기동후에 는 존재하지 않습니 다. IP 회 송설 정 을 영 구적으 
로 보존하려면 다음과 같은 / etc / sysctl.conf 화일을 편집 하여 야 합니다. 
다음과 같은 행 이 존재합니 다. 
net . ipv 4. ip_forward = 0 
다음과 같이 편집합니 다. 
net . ipv 4. ip_forward = 1 

우의 변경을 사용할수 있게 하려 면 다음의 지 령을 리용하여 야 합 
니 다. 

[ root @ myServer~]#sysctl -p / etc / sysctl.conf 


1) Postrouting 과 IP 꾸밈 

회송된 파케트들이 방화벽의 내부 IP 장치를 통하여 접수하는것은 
LAN 마디들이 서로 통신하도록 허가합니다. 그러나 그것들은 여전히 
인 터네 트와 외 부적 으로 통신 할수 없습니 다. 

사설 IP 주소들을 가지 고있는 LAN 마디 들이 외 부공개망들과 통신하도 
록 허 가하기 위하여 IP 꾸밈 에 대 한 방화벽 을 설 정하여 야 합니 다. 그것 
은 방화벽의 외부장치의 IP 주소를 가지고있는 LAN 마디들에서 오는 
요청들을 마스크합니다.(이 경우에는 ethO ) 

[ root @ myServer 〜] #iptables -t nat -A POSTROUTING -o ethO -j MAS 
QUERADE 

이 규칙 은 NAT 파케 트정 합표 (-t nat ) 를 리 용하여 방화벽 의 외 부망관리 
장치 (-o ethO ) 에서 NAT(-A POSTROUTING ) 에 대한 내부적으로 구축되 
여 있는 POSTROUTING 사슬을 정 의 합니 다. 

POSTROUTING 은 파케 트들 이 방화벽 의 외 부장치 를 떠 나기 때 문에 변 
경되 도록 허 가합니 다. 

-j MASQUERADE 목적 은 방화벽 및 관문의 외 부 IP 주소를 가진 마디 
의 사설 IP 주소를 마스크하기 위하여 정의되여있습니다. 
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2) Pre routing 

만일 사용자가 외부에서 사용할수 있도록 하는 봉사기를 내부망에 
가지 고있다면 사용자는 PTREROUTING 사슬의 - j DNAT 를 리용하여 
사용자의 내 부봉사에 대 한 접 속을 요청하는 내 부로 들어오는 파케 트 
들이 회 송될수 있는 목적 IP 주소와 포구를 정 의합니 다. 

실례로 사용자가 들어오는 HTTP 요청 들을 172.31.0.23 의 Apache 
HTTP 봉사기 에 회 송하려 고 한다면 다음의 지 령을 리용하여 야 합니 다. 

[ root@myServer 〜 ] 甘 ^tables -t nat -A PREROUTING -i ethO -p tcp - 
-dport 80 -j DNAT -to 172.31.0.23:80 
이 규칙 은 nat 표가 내 부적 으로 구축된 PREROUTING 사슬을 리 용하 
여 목록화된 172.31.0.23 의 목적 IP 주소에 독점 적 으로 들어오는 HTTP 
요청들을 회송하도록 합니다. 

주의: 

만일 사용자가 FORWARD 사슬안에 DROP 의 기 정 방책 을 가지 고있 
다면 들어오는 모든 HTTP 요청 들을 회 송하는 규칙 을 추가하여 목적 
NAT 경 로조종이 가능할수 있도록 하여 야 합니 다. 이 것을 집 행하려 면 
다음의 지 령을 리 용하여 야 합니 다. 

[ root @ myServer 〜 ] # iptables -A FORWARD -i ethO -p tcp --dport 8 
0 -d 172.31.0.23 -j ACCEPT 

이 규칙은 방화벽 으로부터 들어오는 모든 HTTP 요청들을 예정된 
목적 지 로 회 송합니 다. Apache HTTP 봉사기 는 방화벽 뒤 에 놓입 니 다. 

3) DMZs 와 IPTables 

사용자는 iptabels 규칙 을 창조하여 HTTP 나 FTP 봉사기 와 같이《비 무 
장지 역 ( DMZ-demilitarized zone ))) 에 있는 어 떤 콤퓨터 들에 대 한 통화를 
경 로조종할수 있습니 다. DMZ 는 인터네 트와 같이 공개 된 곳 ( carrier ) 에 
서 봉사를 제 공하도록 되 여있는 특별한 국부부분망입 니 다. 

실례로 10.0.4.2 에 선정 된 HTTP 봉사기 에 대하여 들어오는 HTTP 요청 
(LAN 의 192.168.1.0/24 의 외부에서)들을 경로조종하기 위한 규칙을 설 
정 하기 위 하여 NAT 는 PREROUTING 표를 리 용합니 다. NAT 는 이 표를 
리용하여 파케 트들을 적 당한 목적 지 로 회 송합니 다. 
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[ root @ myS erver 〜 ] 甘 ip tables -t nat -A PREROUTING -i ethO -p tcp - 
-dport 80 -j DNAT -to -destination 10.0.4.2:80 

이 문서 에 서 LAN 의 외 부에 서 80 포구에 로의 모든 HTTP 접 속들은 내 
부망으로부터 분리되 여있는 망상에 있는 HTTP 봉사기 로 경 로조종됩 니 
다. 이 와 같은 형 태의 망토막자료들은 망상의 를퓨터상에 있는 HTTP 
접속들을 허가하는것보다 더 안전하게 립증할수 있습니다. 

만일 HTTP 봉사기 가 보안접 속을 받아들이 도록 설정되 여있다면 443 포 
구가 회송되여야 합니다. 

6. 악성 쏘프트웨 어와 위 장된 IP 주소 

보다 더 섬세한 규칙들이 LAN 안에서 특수한 부분망이나 특수한 마 
디들에 대 한 접 근을 조종하도록 창조될 수 있습니 다. 사용자는 트로이 
목마와 웜，기 타 의뢰기 및 봉사기비 루스들과 같은 어떤 명 백치 않은 
응용프로그람들이나 프로그람들이 봉사기 에 접 촉하지 못하도록 제 한 
할수도 있습니다. 

실례로 일부 트로이들은 31337 로부터 3 D 40 까지의 포구에서의 봉사 
를위한 망들을 검색한다(크랙킹용어에서 elite 포구라고 함). 

이와 같은 비표준포구들을 통하여 통신하는 합법적 인 봉사들은 존재 
하지 않기 때문에 그것들에 대한 차단은 사용자의 망상에 있는 감염 
된 마디들이 개별적으로 자기의 원격주봉사기와 통신할수 있는 기회 
를 줄일수 있습니다. 

다음의 규칙 들은 포구 31337 을 리용하려 고 하는 모든 TCP 통화를 차 
단합니 다. 

[ root @ myServer 〜 ] 甘 tables -A OUTPUT -o ethO -p tcp --dport 3133 
7 -sport 31337 -j DROP 

[ root@myServer 〜 ] # ^tables -A FORWARD -o ethO -p tcp --dport 31 
337 -sport 31337 -j DROP 

사용자는 또한 LAN 에 침 투하기 위하여 사설 IP 주소범 위 를 속여넘 기 
려고 하는 외부접속들을 차단할수도 있습니다. 

실례 로 사용자의 LAN 이 192.168.1.0/24 를 리용하고있다면 사용자는 
인 터네 트로 향한 ( internet - feeing ) 망장치 (실 례 로 ethO ) 가 사용자의 LAN 
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IP 범위안에 있는 주소를 가진 장치에 대한 임의의 파케트들을 차단하 
도록 하는 규칙을 설계할수 있습니다. 

기정방책 에서는 회송된 파케트들을 거부하도록 되 여 있기때문에 외부 
로 향한 장치 ( ethO ) 에 대한 기타 위장된 IP 주소는 자동적으로 거부됩 
니 다. 

[ root@myServer 〜 ] # iptables -A FORWARD -s 192.168.1.0/24 -i ethO 

-j DROP 

주의: 

추가된 규칙 들을 처 리 할 때 DROP 와 REJECT 목표사이 에 는 차이 가 
있습니 다. 

REJECT 목표는 접 근을 거 부하고 봉사에 접 속하려 고 하는 사용자들 
에 게 접 속거 부 (connection refused ) 오유를 되 돌립 니 다. DROP 목표는 이 
름이 나타내 는것 과 같이 그 어 떤 경 고도 출력하지 않고 파케 트들을 
차단합니 다. 

관리 자들은 목적 에 따라 임의의 목표들을 리용할수 있습니 다. 그러 
나 사용자혼잡을 피하고 련속적인 접속을 허가하려고 하는 경우에는 
REJECT 목표를 리용할것 을 권고합니 다. 

7. IPTables 와 접 속추적 방법 (tracking) 

사용자는 접속상태에 기초하여 봉사들에 대한 접속을 조사하고 제한 
할수 있습니 다. Iptables 안의 모둘은 들어오는 접 속들에 대 한 정 보를 보 
관하기 위 하여 접 속추적 관리 (connection tracking ) 라고 하는 방법 을 리 용 
합니다. 사용자는 다음과 같은 접속상태들에 기초하여 접근을 허가하 
거나 거부할수 있습니다. 

• NEW - HTTP 요청 과 같이 새 로운 접 속을 요청하는 파케 

• ESTABLISHED - 현존접속에 속하는 파케트. 

• RELATED - 새 로운 접 속을 요청 하지 만 현존접 속에 속하 
는 파케트. 실례로 FTP 는 21 포구를 리용하여 접속을 확립하지만 
자료는 다른 포구(표준적 으로는 20포구)를 리용하여 전송됩 니다. 
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• INVALID - 접 속추적 관리표안의 접 속들에 속하지 않는 파 
케트. 

사용자는 규약이 stateless(UDP 와 같은)이라고 해도 임의의 망규약을 
가지 고 iptables 접 속추적 관리 의 stateful 기 능을 리 용할수 있습니 다. 다음 
의 실례 에서 는 접 속추적 관리기 능을 리용하여 확립 된 접 속과 련관되 여 
있는 파케트들만을 회송하는 규칙을 보여줌니다. 

[ root @ myServer 〜 ] 甘 iptables -A FORWARD -m state —state ESTABL 
ISHED,RELATED -j ACCEPT 

제 9 절 IPTables 

봉사기 용체 계 들에 는 망파케 트려 과를 진 행 하는 많은 도구들이 포함되 
여 있습니 다. 핵심 부 판본 2.4 이 전 에는 파케트를 려 과하기 위한 ipchains 
에 의 존하여 려 과공정 의 매 단계 에 파케 트들에 대 한 규칙목록을 리용 
하였 습니 다. 2.4 에 서 iptables 가 소개 되 였 습니 다. 

이 장에서는 iptables 지 령들과 려과규칙들이 체계재기 동시 어떻게 실 
행 되 는가를 보여 주며 파케 트려 과에 초점 을 둡니 다. 


1. 파케 트 러 과 


봉사기핵 심 부는 Netfilter 를 사용하여 파케 트를 려 과함으로써 통과혀 
용된 일부만을 접수하고 다른것들은 거부하게 할수 있습니다. 이 부분 
은 크게 3 가지 측면 으로 고찰됩 니 다. 

1) Filter - 망파케 트를 조종하는 기 정 려 과방식 입 니 다. 

2) Nat - 망주소변환을 리용하여 새 로운 련결을 진 행합니 다. 

3) Mangle - 파케트변경의 특정 한 형식을 사용합니 다. 

4) INPUT - 목표로되는 망 파케트에 적용됩 니다. 

5) OUTPUT - 국부적으로 생성되는 망파케트들에 적용됩니다. 

6) FORWARD - 호스트를 통한 경로조종되는 망파케트에 적용됩 니 
다. 

7) PREROUTING - 파케 트가 도착하면 변 경합니 다. 

8) OUTPUT - 파케트가 수신되기 전에 국부적으로 생성된 망파케 
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트들을 변경합니다. 

9) POSTROUTING - 파케트가 수신되 기 전 에 망파케 트들을 변경 합 
니 다. 

Mangle 표를 위 한 내 장사슬은 다음과 같습니 다 . 

1) INPUT - 호스트를 위한 목표파케 트들을 변 경합니 다. 

2) OUTPUT - 망파케 트들이 수신 되 기 전 에 국부적 으로 생 성 된 망파 
케 트들을 변 경합니 다. 

3) FORWARD - 호스트를 통하여 경 로조종되 는 망파케 트들을 변 경 
합니 다. 

4) PREROUTING - 망파케 트들이 경 로조종되 기 전 에 들어 오는 망 
파케 트들을 변 경합니 다. 

5) POSTROUTING - 망파케 트들이 수신되 기 전 에 변 경 합니 다. 

매 망파케트는 적어도 하나의 표에 의하여 봉사기체계에로 전송됩니 
다. 

그러나 하나의 파케트에 사슬의 마지막결합전에 매 표에서 복합규칙 
이 적용될수도 있습니다. 이려한 규칙들의 구조와 목적은 다양하지만 
보통 부분규약과 망봉사를 사용할때 주소의 설정 이 나 부분 IP 주소들에 
로 전송되는 하나의 파케트를 식별합니다. 다음의 그림은 iptables 부분 
체계 에 의하여 파케 트흐름이 어떻게 진행되는가률 보여줍니다. 
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2. IPTables 를 위 한 지 령 항목 

파케트려과를 위한 규칙들은 iptable 지령을 리용하여 생성됩니다. 지 
령들은 다음과 같습니 다. 

1) Packet Type - 려과되는 파케트의 형 태를 특정화합니 다. 

2) Packet source/Destination - 파케트의 원천과 목표에 기초한 려과 
되 는 파케 트를 설 정합니 다. 

3) Target - 우의 조건이 만족하는 파케트에 대하여 어떤 조작을 
수행 는가 하는것 을 결 정합니 다. 

1) IPTables 지 령 항목의 구조 

구조는 다음과 같습니다. 

iptables [-t < table - name >]〈 command 〉< chain - name > \〈 parameter - 1 〉 <o 
ption -1〉\〈 parameter - n >〈 option - n > 

< table - name > - 어느 표에서 규칙이 적용되였는가를 특정화합니다. 만 
일 생 략되 였 으면 filter 표가 사용됩 니 다. 

< command > - 규칙 을 추가하거 나 삭제하는것과 같은 동작들을 설정 합 
니 다. 

< chain - name > - 편집 , 생성 , 삭제를 위한 사슬을 설정합니 다. 
< parameter >-< option > pairs - 규칙 이 일 치 하는 하나의 파케 트를 어 떻 
게 처 리하겠는가를 설 정하는 파라메터 와 련 관항목들입 니 다. 

Iptables 지령의 길이와 복잡성은 그의 목적에 따라 달라질수 있습니 
다. 

실례로 사슬로부터 규칙을 삭제하는 지령은 매우 짧을수 있습니다. 
Iptables - D 〈 chain - name 〉< line - number 〉 

이 와는 대 조적 으로 여 러 가지 특정 화된 파라메터 들과 항목들을 리용 
하여 하나의 개별적인 부분망으로부터 파케트를 려과하는 규칙을 추 
가하는것은 매우 길수 있습니다. Iptables 지령의 구조는 유효한 규칙을 
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구성 하는 파라메 터 들과 항목들을 요구한다는것 이 중요합니 다. 

2) 지 령 항목 

Iptables 지령에 하나의 지령 항목이 허용됩니다. Help 지령을 제외하고 
모든 지령들은 큰문자입니다. 

지 령들은 다음과 같습니다. 

1) -A - 설 정하려 는 사슬의 끝에 규칙 을 추가합니 다. 

2) -C - 사용자정 의 된 사슬에 개 별적 인 규칙 을 추가하기 전 
에 그것을 검사합니다. 이 지령은 추가적인 파라메터들과 
항목들을 위 한 iptables 규칙 을 작성 하는데 도움을 줍니 다. 

3) -D < integer > I < rule > - 설정 한 번호에 해 당한 개 별적 인 
사슬에 있는 규칙 을 삭제합니 다. 이 때 규칙설정 은 반드시 
존재하는 규칙 에 하여 야 합니 다. 

4) -E - 사용자정 의 된 사슬의 이 름을 재설정 합니 다. 

5) -F - 선택 한 사슬을 맞춥니 다. 이 때 사슬에서 매 규칙 
을 효과적 으로 삭제 하는 사슬에 대 하여 진 행 합니 다. 만일 
사슬이 설정되지 않으면 이 지령은 매 사슬로 부터 매 규 
칙 을 지 웁니다. 

6) -h - 지 령 구조목록을 현시 합니 다. 

7) -I [< integer >] - 사용자정 의 된 옹근수인수에 의 하여 설정 
된 곳에 지정된 규칙을 삽입합니다. 만일 인수가 특정되여 
있지 않으면 규칙 은 사슬의 제 일 우에 삽입됩 니다. 

8) -L - 그 지 령뒤 에 설정된 사슬에 있는 모든 규칙들을 
목록화합니다. 기정 filter 표에 있는 모든 사슬들에 있는 모 
든 규칙들을 목록화하기 위하여 사슬 혹은 표를 특정화하 
지 않습니다. 다음의 실례는 개별적인 표에서 특정된 사슬 
에 있는 규칙들을 목록화하기 위하여 사용됩니다. 

iptables - L < chain - name 〉- t<tab le - name 〉 

9) -N - 사용자정 의 된 이 름을 가진 새 로운 사슬을 추가합 
니다. 사슬이 름은 동일 하여 야 하며 그렇 지 않은경 우 오유통 
보문이 현시 됩 니다. 

10) -P - 특정 된 사슬을 위한 기 정방책 을 설 정합니 다. 
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그렇게 함으로써 규칙이 일치함이 없이 전반적인 사슬을 
리행할때 ACCEPT , DROP 와 같은 설정 된 목표에 로 보내집 
니 다. 

11) -R - 특정화된 사슬에 있는 하나의 규칙을 교체합 
니다. 규칙의 번호는 사슬의 이름뒤에 설정되여야 합니다. 
첫규칙은 1 번으로 합니다. 

12) -X - 사용자정 의 된 사슬을 삭제합니 다. 기 정사슬은 
삭제할수 없습니 다. 

13) -Z - 모든 사슬에 있는 바이트와 파케트 개수를 표 
에 서 0으로 설 정합니 다. 

3) IPTables 파라메 터 항목들 

개별적인 사슬에서 규칙들의 추가, 삭제, 삽입, 교체 를 포함하는데 
이 것 들은 파케 트러 과규칙 을 구축하기 위한 여 러 가지 파라메 터 들을 요 
구합니 다. 

l)-c - 개별적인 규칙을 위한 계수률 재설정합니다. 이 파 
라메 터 는 PKTS 와 BYTES 항목을 접 수합니 다. 

2 )-d - 목적호스트이 름, IP 주소, 규칙 과 일 치하는 파 
케 트의 망을 설정합니 다. 만일 하나의 망이 일치되 면 
다음의 IP 주소/망마스크형 식 이 지 원됩 니 다. 
N . N . N . N / M . M . M.M - N . N . N.N 은 IP 주소이 고, M . M . M.M 은 망마스크입 
니 다. 

N . N . N . N/M - N . N . N.N 은 IP 주소이 며 , M 은 비 트마스크입 니 다. 

* -f - 토막화된 파케 트들에 만 이 규칙 을 적 용합니 다. 

* -I - ethO 혹은 pppO 과 같은 들어오는 망대 면 부들을 설 정합니 다. 
Iptables 로 이 항목파라메 터 는 INPUT 와 FORWARD 사슬들로 리 용될 수 
있 는데 이 때 filter 표와 PREROUTING 사슬이 리 용됩 니 다. 

* -j - 파케트가 개별적인 규칙과 맞으면 지정된 목표로 뛰여 넘습니 
다. 표준적 인 목표들은 ACCEPT , DROP , QUEUE , RETURN 입 니 다. 

4) IPTables 대 응항목 

망규약은 그 규약을 리용하는 파케 트에 대 응하도록 구성 된 특정한 
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대 응항목을 제 공합니 다. 그러 나 그러 한 규약은 먼저 iptables 지 령 으로 
설정 되 여 야 합니 다. 실례로 -p < protocol - name > 항목이 설정 됩 니 다. 규 
약이 름 대 신 규약 ID 를 사용할수 있습니 다. 
iptables -A INPUT -p icnp - icnp-type any -j ACCEPT 
농 ) tables -A INPUT -p 5813 - icnp-type any -j ACCEPT 

봉사정 의 는 / etc/services 화일 에 서 합니 다. 

5) 목표항목 

파케트가 개별적인 규칙들과 대응되면 규칙은 서로다른 목표들에 어 
떠 한 동작을 적 용하겠는가를 결정하여 야 합니 다. 매 사슬은 기 정목표 
를 가지고있습니다. 표준적 인 목표들은 다음과 같습니다. 

1) < user - defined - chain 〉- 표에 사용자정 의 된 사슬입 니 다. 이 름은 유일 
하여 야 하며 이 목표는 특정한 사슬로 파케 트를 통과합니 다. 

2) ACCEPT - 목적 지 혹은 다른 사슬을 통하여 파케 트를 허 용합니 
다. 

3) DROP - 요구자에 게 응답이 없 이 파케 트를 보냅 니 다. 파케 트를 
보내는 체계는 아무런 통지도 하지 않습니다. 

4) QUEUE - 사용자공간응용프로그람에 의 하여 조종되 는 파케 트를 
대기 렬조종합니 다. 

5) RETURN - 현재의 사슬에 있는 규칙 들과 맞지 않는 파케트의 
검 사를 중지 합니 다. 

6) LOG - 이 규칙 과 대 응되 는 모든 파케 트들을 리 력 합니 다. 
/ etc / syslog.conf 화일에 리력이 기록됩니 다. 기정으로 / var / log/messages 
화일 에 위 치합니 다. 

7) REJECT - 원격 체계 에 오유파케트를 전송하고 파케트를 차단합 
니 다. 


76 



